Black Duck 软件组件分析    

从开发到部署期间提供安全保障和管理开源

Synopsys 的 Black Duck 提供全面的软件组件分析 (SCA) 解决方案,用于管理在应用程序和容器中使用开源和第三方代码所带来的安全、质量和许可证合规性风险。Black Duck 为您提供无与伦比的第三方代码可视性,让你能够在整个软件供应链和整个应用程序生命周期中对其进行控制。

未经跟踪的开源是否让你面临风险?

第三方代码省时又省钱,但也藏匿着如下一些危险:

  • 安全漏洞(例如,国家安全漏洞库中确定的 CVE)
  • 一般软件缺陷 (例如, SANS Top 25 或 OWASP Top 10)
  • 许可证合规和 IP 所有权相关风险

使用 Black Duck 管理开源风险

Black Duck 软件组件分析将多功能开源风险管理和深度二进制监测结合在一流的解决方案中。Black Duck 为开发、运营、采购和安全团队提供必要工具,为其尽量降低开源软件及其他第三方软件在安全、合规性和代码质量中面临的风险,同时还能实现该软件具备的优势。

 

下载数据手册      了解该技术

 

查找代码中的开源

发现

• 识别代码、二进制文件和容器中的开源
• 检测片段和遭篡改的组件
• 通过 DevOps 集成进行自动扫描

识别开源许可证风险

保护

• 在组件中映射已知漏洞
• 识别许可和组件质量风险
• 监测开发和生产环节的新漏洞

开源安全政策

管理

• 制定并执行开源使用和安全政策
• 通过DevOps集成自动执行策略
• 确定优先顺序并跟踪补救活动

我们再次成为 Gartner 魔力象限应用安全测试领域的领导者。

了解原因

在开发期间管理开源

借助 Black Duck,您可以识别和跟踪应用程序源代码中的开源组件,并监测新增的和现有的安全漏洞为其带来的风险。

使用 Black Duck 进行源代码分析

我们基于三个原因选择 Black Duck:商誉、易用性和对结果的信心。"

Lawrence Croft

|

Copperleaf 产品开发副总裁

使用多样性开源监测
识别声明组件、唯一 HASH 签名和在构建过程中解决的依赖关系。

生成完整使用的开源明细表。
追踪您的应用程序中包含的所有第三方组件、许可证和版本 。

映射您的物料清单 (BoM)。
将您的 BoM 映射到最强大的开源项目、漏洞和许可证数据知识库上。利用相关风险指标和可执行的补救指南作出明智决定。

获得更加深刻的漏洞见解。
通过 Synopsys 开源研究与创新中心& (COSRI),获得更加详细的独家安全风险见解。在 NVD 发布新漏洞之前提前三周收到通知,从而缩短风险窗口期。

无论威胁如何加剧,都能保障安全。
自动接收提醒,获知您的 BoM 组件和依赖中新发现的漏洞。

解构开发、安全和运行流程

通过静态应用程序安全测试和软件组件分析,在你的 CI/CD 流程中构建应用安全能力。

观看网络研讨班视频

在部署期间管理开源

Black Duck OpsSight 帮助你防止已知的开源漏洞被部署到生产环境中。 借助 OpsSight,你将获得前所未有的可视性,能够了解开源组件以及存在于你创建的容器镜像 中和在生产中运行的任何相关安全漏洞。Black Duck OpsSight 直接集成到容器编排平台,确保实现必要的可见性和控制,以最大限度降低应用程序的风险。

 

下载数据手册

扫描

OpsSight 结合容器编排平台使用,可扫描群集中使用的任何容器镜像,并报告任何已知漏洞。

监控

OpsSight持续监控容器镜像中开源的新的安全披露和组件变更信息。

报告

扫描结果作为元数据放置在容器镜像上,因此您可以直接从容器编排平台的控制台显示漏洞风险并执行相应的政策。

在采购期间管理开源

利用 Black Duck 二进制分析,您可以分析系统和软件,快速轻松地识别软件供应链中的薄弱环节,根本无需使用源代码。

只需几分钟即可完成任何软件或固件的虚拟扫描。
这些软件或固件 包括桌面和移动应用、嵌入式系统固件、虚拟设备等等。

无需源代码即可完成的分析。
您只需上传要评估的软件,Black Duck 就会在短短几分钟内执行全面的二进制分析。

获取全面的物料清单 (BoM)。
识别并登记所有第三方软件组件和许可证。

作出明智的软件消费决定。  
减少安全风险和许可证不合规威胁。识别已知的开源漏洞、许可义务、敏感数据泄漏源以及应用程序权限要求。    

无论威胁如何加剧,都能保障安全。
自动接收提示,获知在此前扫描的软件中新发现的漏洞。

下载数据手册

掌控开源、消除风险并加速补救    

Black Duck 利用综合性工具包为您的应用程序开发、部署和采购计划提供支持,以识别和修复开源安全、许可和操作风险。利用见解深刻的漏洞修复和风险缓解指南、完整的开源许可证符合性数据、Black Duck 独有的安全建议以及有效的政策控制,主动消除风险。