Black Duck Software Composition Analysis

Schützen Sie Ihren Open Source Code von der Entwicklung bis hin zur Bereitstellung 

Black Duck ist eine umfassende SCA-Lösung zur Verwaltung von Risiken zur Sicherheits-, Qualitäts- und Lizenz-Compliance durch Open Source Code und Code von Drittanbietern in Anwendungen und Containern. Black Duck verschafft Ihnen ungeahnte Erkenntnisse zu Code von Drittanbietern und ermöglicht Ihnen somit maximale Kontrolle in der Lieferkette Ihrer Software und im gesamten ALM.

Möchten Sie Open Source Risiken für M&A bewerten? Hier erfahren Sie mehr über unsere Dienstleistungen für Ihre Audits.

Ist die Anwendung von Open Source Software ein potentielles Risiko für Ihr Unternehmen?

Code von Drittanbietern spart sowohl Zeit als auch Geld, ist aber auch mit Risiken verbunden. Dazu zählen:

  • Sicherheitsschwachstellen (z. B. CVEs, die in der nationalen Datenbank der Schwachstellen identifiziert wurden)
  • Gängige Schwachstellen in der Software (z. B. SANS Top 25 oder OWASP Top 10)
  • Risiken im Zusammenhang mit Lizenzverstößen und IP-Eigentum

Open Source Risiken mit Black Duck minimieren

Die Black Duck Software Composition Analysis vereint ein vielseitiges Risikomanagement für Open Source und detaillierte Überprüfung von Binärcode in einer konkurrenzlosen Lösung. Sie bietet Entwicklungs-, Betriebs-, Beschaffungs- und Sicherheitsteams die erforderlichen Tools, um Risiken zur Sicherheit, Compliance und Codequalität von Open Source und Software von Drittanbietern zu minimieren – ohne dabei die Vorteile dieser Software zu beeinträchtigen.

 

Datenblatt ansehen     Mehr zur Technologie erfahren

 

Open Source in Code finden

Erkennen

• Open Source in Code, Binärdateien und Containern identifizieren
• Partielle und modifizierte Komponenten aufspüren
• Scanvorgänge mit DevOps-Integrationen automatisieren

Risiken durch Open Source Lizenzen identifizieren

Schützen

• Komponenten bekannten Schwachstellen zuordnen
• Erkennen Sie Lizenz- und Qualitätsrisiken von Komponenten
• Neue Schwachstellen in der Entwicklung und Produktion finden

Richtlinien zur Open Source Sicherheit

Verwalten

• Setzen Sie Richtlinien zur Verwendung und Sicherheit von Open Source fest
• Richtlinien und deren Durchsetzung mit DevOps-Integrationen automatisieren
• Korrekturmaßnahmen priorisieren und nachverfolgen

Wir wurden in der Forrester Wave für Software Composition Analysis 2019 als einer der  Marktführer eingestuft.

Mehr über den Forrester Wave Bericht erfahren

Open Source während der Entwicklung verwalten

Mit Black Duck können Sie Open Source Komponenten im Quelltext Ihrer Anwendungen nachverfolgen und neue, sowie bestehende kritische Schwachstellen überwachen.

Software Composition Analysis für Open Source mit Black Duck

Wir verlassen uns auf Black Duck aus drei Gründen: guter Ruf, hervorragende Benutzerfreundlichkeit und zuverlässige Ergebnisse."

Lawrence Croft

|

VP Product Development bei Copperleaf

Nutzen Sie unsere Erkennungsmethode zu Multifaktor-Open-Source
Erkennen Sie ausgewiesene Komponenten, eindeutige Hash-Signaturen und Abhängigkeiten, die während der Entwicklung entdeckt wurden.

Erstellen Sie eine vollständige Bestandsliste aller Open-Source-Komponenten
Behalten Sie den Überblick über alle Komponenten, Lizenzen und Versionen von Ihren Drittanbieter in Ihren Anwendungen.

Bestandsliste überprüfen
Überprüfen Sie Ihre Bestandsliste anhand der größten Wissensdatenbank an Projekt-, Schwachstellen-, und Lizenzdaten von Open-Source-Quellen. Treffen Sie sachkundige Entscheidungen mithilfe von relevanten Risikoinformationen und Empfehlungen zu wirksamen Korrekturmaßnahmen.

Erhalten Sie einen differenzierten Einblick in potentielle Schwachstellen
Nutzen Sie detaillierte Einblicke in proprietäre Sicherheitsrisiken mithilfe des Cybersecurity Research Center (CyRC). Sie erhalten Benachrichtigungen zu neuen Schwachstellen bereits bis zu drei Wochen vor deren Veröffentlichung in der NVD (National Vulnerability Database), wodurch das Zeitfenster für Angreifer minimiert wird.

Schutz vor modernen Bedrohungen aufrechterhalten
Sie erhalten automatische Benachrichtigungen sobald neue Schwachstellen in den Komponenten und Abhängigkeiten Ihrer Bestandsliste entdeckt wurden.

So funktioniert DevSecOps

Integrieren Sie AppSec in Ihre CI/CD-Pipeline sowohl mit statischen Sicherheitstest zu Ihren Anwendungen als auch Software Composition Analysis.

Webinar ansehen

Open Source während der Bereitstellungsphase kontrollieren

Mit Black Duck OpsSight verhindern Sie, dass bekannte Open-Source-Sicherheitslücken in Ihre Produktionsumgebungen aufgenommen werden. OpsSight verleiht Ihnen zielgerichtete Einblicke in Open Source Komponenten und damit einhergehende Sicherheitslücken der erstellten und in der Produktion verwendeten Container-Images. Black Duck OpsSight wird direkt in Ihre Containerorchestrierungs-Plattformen integriert, damit Sie über die erforderliche Transparenz und Kontrolle verfügen, um die Risiken für Ihre Anwendungen zu minimieren.

 

Datenblatt ansehen

Scan aller im Cluster verwendeten Container-Images

Scannen

OpsSight korrespondiert mit Ihre Container-Plattform, scannt alle im Cluster verwendeten Container-Images und enthüllt erkannte Schwachstellen.

Kontinuierlicher Check von Sicherheitslücken und Änderungen der Open-Source-Komponenten

Überwachen

OpsSight sucht kontinuierlich nach neuen Sicherheitslücken und Änderung der Komponenten im Open Source Code Ihrer Container-Images.

Sachergebnisse werden als Metadaten zum Container-Image hinzugefügt

Dokumentieren

Die Scanergebnisse werden als Metadaten zum Container-Image hinzugefügt, damit das vorhandene Risiko angezeigt werden kann und Sie entsprechende Richtlinien direkt mit der Konsole Ihrer Container-Plattform durchsetzen können.

Open Source bei Auftragsvergabe kontrollieren

Mit der Black Duck Binary Analysis können Sie Systeme und Software analysieren, um Schwachstellen in der Lieferkette Ihrer Software schnell und einfach zu identifizieren – ganz ohne Quellcode.

Nahezu jede Software oder Firmware in wenigen Minuten scannen
Dazu zählen Desktop- und Mobil-Anwendungen, integrierte System-Firmware, virtuelle Appliances und mehr.

Analysen durchführen, auch ohne Quellcode
Laden Sie einfach Ihre Software hoch – Black Duck führt eine umfassende Binäranalyse in wenigen Minuten durch.

Umfassende Bestandsliste erstellen
Sie können alle Komponenten und Lizenzen Ihrer Software von Dittanbietern identifizieren und katalogisieren.

Sachkundige Entscheidungen zur Softwarenutzung treffen  
Beseitigen Sie Sicherheitsrisiken und die Gefahr von Lizenzverstößen. Mit Black Duck können Sie bekannte Open Source Schwachstellen, Lizenzpflichten, Sicherheitslücken für sensible Daten und Anwendungsberechtigungen identifizieren.    

Schutz vor modernen Bedrohungen aufrechterhalten
Sie erhalten automatische Benachrichtigungen für neu entdeckte Schwachstellen in bereits gescannter Software.

Datenblatt ansehen

Softwarerisiken bei Fusionen und Akquisitionen kontrollieren

Black Duck Audits verschafft Ihnen ein vollständiges Bild von den Lizenz-, Qualitäts- und Sicherheitsrisiken der erworbenen Codebasis. 

Lizenz-, Qualität- und Sicherheitsrisiken erkennen

Open Source Code erfassen und Verbesserungsmaßnahmen planen
Sie erhalten eine umfassende Bestandsliste der Open-Source-Komponenten, erforderlichen Lizenzen und im Code enthaltenen Sicherheitslücken. Die empfohlenen Korrekturen können direkt in Ihren Maßnahmenplan aufgenommen werden.

Sicherheitslücken von Anwendungen bewerten
Testen Sie die Anwendung aus allen Blickwinkeln, um mögliche Exploits aufzudecken. Verstehen Sie Ihr unternehmensspezifische Risiko für potenzielle Sicherheitsverletzungen und entwickeln Sie einen Plan zur Korrektur, bevor sensible Daten, geistiges Eigentum oder finanzielle Ressourcen gestohlen werden.

Schwerwiegende Design- und Codefehler identifizieren
Mit der Kombination aus quantitativer und qualitativer Analyse bringen Sie die Qualität von Codedesigns und -prozessen in Erfahrung. Unerkannte Design- und Prozessfehler können einen enormen zeitlichen und finanziellen Integrationsaufwand verursachen.

Mehr über Black Duck Audits erfahren

Open Source kontrollieren, Risiken beseitigen und Modifaktionen beschleunigen    

Black Duck unterstützt Sie in der Anwendungsentwicklung, -bereitstellung und -beschaffung mit einem umfassenden Toolkit zur Identifizierung und Modifikation von Open Source Risiken hinsichtlich Schwachstellen, Lizenzen und betrieblichen Abläufen. Beseitigen Sie Risiken proaktiv und nutzen Sie Erkenntnisse zur Modifikationen Ihrer Schwachstellen und Risikominderung, Daten zur Open-Source-Compliance, exklusive Black Duck Gutachten und wirksame Richtlinienkontrolle.