软件组件分析

管理开源软件带来的风险 

Synopsys 软件组件分析 (SCA) 提供了一套综合解决方案,用于管理开源软件 (OSS) 和第三方软件带来的风险。Synopsys SCA 为您提供第三方代码可视性,使您能够在日益复杂的整个软件供应链中以及在您的应用程序开发过程中,对该代码进行控制。

 您的应用程序中隐藏了什么?

第三方代码省时又省钱,但也藏匿着一些危险,其中包括:

  • 安全漏洞(例如,国家安全漏洞库中确定的 CVE)
  • 一般软件缺陷 (例如, SANS Top 25 或 OWASP Top 10)
  • 许可泄漏和 IP 所有权相关风险
了解我们 在最新软件组件状态报告中观察到的结果

Synopsys SCA 帮助您轻松完成  OSS

Synopsys 将 Black Duck 的多功能开源风险管理与 Protecode 深度二元检测相结合,提供一流的解决方案。Synopsys SCA 为开发、运营、采购和安全团队提供必要工具,为其尽量降低开源软件及其他第三方软件的安全、符合性和代码质量风险,同时还能实现该软件具备的优势。

 

发现

• 识别代码、二进制文件和容器中的开源
• 检测不完整和遭篡改的组件
• 通过 DevOps 集成进行自动扫描

保护

• 在组件中映射已知漏洞
• 识别许可和组件质量风险
• 监测开发和生产环节的新漏洞

管理

• 制定并执行开源使用和安全政策
• 通过 DevOps 集成自动执行政策
• 分类、计划并追踪补救活动

Synopsys再次入选Gartner魔力象限应用安全测试“领导者”

了解更多原因

Black Duck 保障完成顺畅的源代码分析

借助 Black Duck Hub,您可以识别和跟踪应用程序源代码中的开源组件,并监测 为其带来风险的新增和现有漏洞。

使用 Black Duck 进行源代码分析

我们基于三个原因选择 Black Duck:商誉、易用性和对结果的信心。"

Lawrence Croft

|

Copperleaf 产品开发副总裁

使用多因子开源监测
识别声明组件、唯一 HASH 签名和在构建过程中解决的依赖关系。

生成完整的 在用开源明细表。
追踪您的应用程序中包含的所有第三方组件、许可证和版本 。

映射您的物料清单 (BoM)。
基于最强大的开源项目、漏洞和许可数据知识库映射您的 BoM。利用相关风险指标和可执行的补救指南作出明智决定。

获得更加深刻的漏洞见解。 
通过 Black Duck 开源研究与创新中心 (COSRI),获得更加详细的独家安全风险见解。在 NVD 发布新漏洞之前提前  3 周收到通知,从而缩短风险窗口期。
 
主动防范代码衰减。
自动接收提示,获知您的 BoM 组件和依赖中新发现的漏洞。
 

解构开发、安全和运行流程

通过静态应用程序安全测试和软件组件分析,在您的 CI/CD 流程中构建应用安全。

观看网络研讨班视频

使用 Protecode SC 轻松进行二进制分析

利用 Protecode SC,您可以分析系统和软件,快速轻松地识别软件供应链中的薄弱环节,根本无需使用源代码。

只需几分钟即可完成任何软件或固件的虚拟扫描。
这些软件或固件 包括桌面和移动应用、嵌入式系统固件、虚拟设备等等。

无需源代码即可完成的分析。
您只需上传要评估的软件,Protecode SC 就会在短短几分钟内执行全面的二进制分析。

获取全面的物料清单 (BoM)。
识别并登记所有第三方软件组件和许可证。

识别软件组件中的已知漏洞和许可义务。
利用切合实际的指标,针对技术的使用和购买作出明智决定。

主动防范代码衰减。
自动接收提示,获知在此前扫描的软件中新发现的漏洞。

下载数据手册

掌控供应链

深入了解已购软件的组成,作出更好的购买决定,并管理运行复杂系统和软件的现有风险。