Black Duck Software Composition Analysis

Kontrollieren und schützen Sie Open-Source-Code von der Entwicklung bis hin zur Bereitstellung des fertiggestellten Codes

Black Duck ist eine umfassende SCA-Lösung zur Verwaltung von Risiken zur Sicherheits-, Qualitäts- und Lizenz-Compliance durch Open Source Code und Drittanbieter-Code in Anwendungen und Containern. Black Duck verschafft Ihnen ungeahnte Erkenntnisse zu Codes von Drittanbietern und unterstützt somit die Kontrolle in der Lieferkette Ihrer Software und im gesamten ALM (Application Lifecycle Management).

Möchten Sie Open-Source-Risiken für M&A bewerten? Hier erfahren Sie mehr über unsere Dienstleistungen für Ihre Audits.

Open-Source-Risiken mit Black Duck minimieren

Die Black Duck Software Composition Analysis vereint flexibles Risikomanagement im Bereich Open Source und detaillierte Überprüfung von Binärcode in einer konkurrenzlosen Lösung. Sie bietet Entwicklungs-, Betriebs-, Beschaffungs- und Sicherheitsteams die erforderlichen Tools, um Risiken zur Sicherheit, Compliance und Codequalität von Open Source und Drittanbietern von Software zu minimieren – ohne dabei die Vorteile dieser Software zu beeinträchtigen.

Erkennen

• Open in Code, Binärdateien und Containern identifizieren
• Partielle und veränderte Komponenten aufspüren
• Scanvorgänge mit DevOps-Integrationen automatisieren

Schützen

• Open-Source-Komponenten bekannten Schwachstellen zuordnen
• Risiken durch Lizenzen und Überprüfung der Qualität dieser Komponenten identifizieren
• Neue Schwachstellen in der Entwicklung und Produktion finden

Verwalten

• Richtlinien zur Verwendung und Sicherheit von Open Source einführen und durchsetzen
• Richtlinien und deren Durchsetzung mit DevOps-Integrationen automatisieren
• Korrekturmaßnahmen priorisieren und nachverfolgen

Black Duck Technologie

Nicht alle Open-Source-Sicherheitslösungen bieten dieselben Funktionen. Die Lösungen von Synopsys basieren auf branchenführenden Technologien, mit denen Sie sich einen detaillierten Überblick über die Open-Source-Risiken in Ihrer Software verschaffen können. 

Erkennung von Open Source in Anwendungen und Containern

  • Erkennung, die über normale Abhängigkeitsscans hinausgeht
  • Erkennung nicht deklarierter und modifizierter Open-Source-Komponenten, selbst wenn diese nur teilweise Open-Source-Code enthalten
  • Sorgfältige Open-Source-Überprüfung mit oder ohne Zugriff auf den Quellcode
Enhanced Vulnerability Data
Erkennung von Open Source in Anwendungen und Containern

Verbesserte Daten für Schwachstellen

  • Unabhängig erstellte Black Duck Security Advisories (BDSAs) von Synopsys
  • Umfangreiche Daten zu Sicherheitslücken, deutlich präziser und Wochen früher als die NVD
  • Automatische Schwerpunktsetzung von Korrekturmaßnahmen basierend auf den wichtigsten geschäftlichen Anforderungen 

Durchgängige DevOps-Integration

  • Verwalten Sie Open-Source-Risiken in jeder Phase des Anwendungszyklus
  • Definieren Sie einmalig Open-Source-Nutzungsrichtlinien, die automatisch überprüft und durchgesetzt werden
  • Überprüfen Sie Ihren Code in der IDE auf Sicherheitslücken, indem Sie direkt auf die BDSA zugreifen
Durchgängige DevOps-Integration
Black Duck KnowledgeBase

Umfangreiche KnowledgeBase

  • Die Black Duck KnowledgeBase ist die ultimative Quelle für Open-Source-Informationen
  • Kontinuierliche automatisierte Datenerfassung von weltweit über 20.000 Webseiten und Forges
  • Kuratiert und überprüft durch die Black Duck-Experten

Wir wurden in der Forrester Wave für Software Composition Analysis 2019 als einer der Marktführer eingestuft.

Mehr über den Forrester Wave Bericht erfahren

Wir verlassen uns auf Black Duck aus drei Gründen: guter Ruf, hervorragende Benutzerfreundlichkeit und zuverlässige Ergebnisse."

Lawrence Croft

|

VP Product Development bei Copperleaf

Open Source während Entwicklung verwalten

Mit Black Duck können Sie Open-Sourc-Komponenten im Quelltext Ihrer Anwendungen nachverfolgen und neue, sowie bestehende kritische Schwachstellen überwachen.

Nutzen Sie die Mehrfach-Erkennung von Open Source, um verwendeten Open-Source-Code zu inventarisieren.
Identifizieren Sie angegebene Komponenten, eindeutige Hash-Signaturen und Abhängigkeiten während der Entwicklung. Behalten Sie den Überblick über alle Komponenten, Lizenzen und Versionen von Ihren Drittanbieter in Ihren Anwendungen.

Bestandsliste überprüfen.
Überprüfen Sie Ihre Bestandsliste (Bill of Materials; BOM) anhand der größten KnowledgeBase™ an Projekt-, Schwachstellen-, und Lizenzdaten von Open-Source-Quellen. Treffen Sie sachkundige Entscheidungen mithilfe von relevanten Risikoinformationen und Empfehlungen zu wirksamen Korrekturmaßnahmen.

Risiken schon beim Programmieren erkennen.
Das Code Sight IDE-Plug-in gibt Entwicklern alle Informationen, um mögliche Risiken schon beim Programmieren zu identifizieren und auszuräumen. Ausführliche Beschreibungen von Sicherheitslücken, Anleitungen für Korrekturmaßnahmen, Lizenzinformationen und Informationen zu möglichen Richtlinienverstößen helfen Ihnen, Probleme sofort zu beseitigen, ohne die IDE verlassen zu müssen.

Erhalten Sie einen detaillierten Einblick in Ihre Schwachstellen
Nutzen Sie den detaillierten Einblick in proprietäre Sicherheitsrisiken mithilfe des Cybersecurity Research Center (CyRC). Sie erhalten Benachrichtigungen zu neuen Schwachstellen bereits bis zu drei Wochen vor ihrer Veröffentlichung in der NVD (National Vulnerability Database), wodurch das Zeitfenster für Angreifer minimiert wird.

Schutz vor modernen Bedrohungen aufrechterhalten
Sie erhalten automatische Benachrichtigungen, sobald neue Schwachstellen in den Komponenten und Abhängigkeiten Ihrer Bestandsliste entdeckt wurden.

Datenblatt lesen

Ein innovativer Binärcodescanner für Schwachstellen in Drittanbietersoftware."

Software Engineer

|

Kommunikation

Auftragsvergabe von Open Source kontrollieren

Mit der Black Duck Binary Analysis können Sie Systeme und Software analysieren, um Schwachstellen in der Lieferkette Ihrer Software schnell und einfach zu identifizieren – ganz ohne Quellcode.

Nahezu jede Software oder Firmware in wenigen Minuten scannen
Dazu zählen Desktop- und Mobilanwendungen, integrierte System-Firmware, virtuelle Appliances und mehr.

Analysen durchführen, auch ohne Quellcode
Laden Sie einfach Ihre Software hoch – Black Duck führt eine umfassende Binäranalyse in wenigen Minuten durch.

Umfassende Bestandsliste (BOM) erstellen.
Sie können alle Komponenten und Lizenzen Ihrer Software von Dittanbietern identifizieren und katalogisieren.

Sachkundige Entscheidungen zur Softwarenutzung treffen  
Beseitigen Sie Sicherheitsrisiken und die Gefahr von Lizenzverstößen. Mit Black Duck können Sie bekannte Open Source Schwachstellen, Lizenzpflichten, Sicherheitslücken für sensible Daten und Anwendungsberechtigungen identifizieren.    

Schutz vor modernen Bedrohungen aufrechterhalten
Sie erhalten automatische Benachrichtigungen für neu entdeckte Schwachstellen in bereits gescannter Software.

Datenblatt lesen

M&A + -

Softwarerisiken bei Fusionen und Akquisitionen kontrollieren

Black Duck Audits verschafft Ihnen ein vollständiges Bild von den Lizenz-, Qualitäts- und Sicherheitsrisiken der erworbenen Codebasis. 

Open-Source-Code erfassen und analysieren als auch Verbesserungsmaßnahmen planen
Sie erhalten eine umfassende Bestandsliste (Bill of Materials; BOM) der Open-Source-Komponenten, erforderlichen Lizenzen und im Code enthaltenen Sicherheitslücken. Die empfohlenen Korrekturen können direkt in Ihren Plan aufgenommen werden.

Sicherheitslücken von Anwendungen bewerten
Testen Sie die Anwendung aus allen Blickwinkeln, um mögliche Exploits aufzudecken. Verstehen Sie Ihr unternehmensspezifische Risiko für potenzielle Sicherheitsverletzungen und entwickeln Sie einen Plan zur Korrektur, bevor sensible Daten, geistiges Eigentum oder finanzielle Ressourcen gestohlen werden.

Schwerwiegende Design- und Codefehler identifizieren
Mit der Kombination aus quantitativer und qualitativer Analyse bringen Sie die Qualität von Codedesigns und -prozessen in Erfahrung. Unerkannte Design- und Prozessfehler können einen enormen zeitlichen und finanziellen Integrationsaufwand verursachen.

Mehr über Black Duck Audits erfahren

Open Source kontrollieren, Risiken beseitigen und Korrekturmaßnahmen beschleunigen    

Black Duck versorgt Ihre Initiativen der Anwendungsentwicklung, -bereitstellung und -beschaffung mit einem umfassenden Toolkit zur Identifizierung und Korrektur von Open-Source-Risiken hinsichtlich Schwachstellen, Lizenzen und betrieblichen Abläufen. Nutzen Sie Erkenntnisse zur Korrektur Ihrer Schwachstellen und Risikominderung, Daten zur Open-Source-Compliance, exklusive Black Duck Gutachten und wirksame Richtlinienkontrolle, um Risiken proaktiv zu beseitigen.