多因子开源监测
Black Duck® 多因子开源扫描技术确保您更全面准确地了解自己应用和容器中的开源。我们的开源监测结合了构建过程监控和文件系统扫描,以跟踪所有在用的开源,包括大多数解决方案遗漏的组件。
依赖分析
与 Maven 和 Gradle 等构建工具集成,跟踪以 Java 和 C# 等语言构建的应用中已公开和过渡性的开源依赖关系。
码纹分析
将字符串、文件和目录信息映射到 Black Duck 知识库,以便在使用 C 和 C++ 等语言构建的应用中识别开源和第三方组件。
二进制分析
识别已编译的应用库和可执行文件中的开源。无需源代码或构建系统访问权限。
代码片段分析
查找专有代码中复制的开源代码部分,这样复制可能会使您面临许可证违规和冲突。
为什么只有包声明是不够的
其他解决方案大多仅是依赖包管理器声明来识别开源组件。但是这些解决方案遗漏了许多可能出现在代码中的开源,包括:
- 开发人员添加到代码但不在包清单中声明的开源
- 采用 C 和 C ++ 等语言但不使用包管理器的开源
- 容器内不使用包管理器的开源组件
- 已合规的二进制文件中,超出已发布内容的开源
此外,如果包声明未指定包含在构建中的具体版本,或者存在依赖或组件关系递进的情况,则这些解决方案通常无法提供准确的结果。
通过将我们的专有码纹分析与依赖分析相结合, Black Duck 针对包管理器未跟踪的开源组件,以及动态和传递依赖性的组件和版本验证,提供可见性。
便于集成到 CI/CD 流水线
Black Duck Detect 是我们的开源检测客户端,可以轻松地将开源监测集成到现有的开发工具和流程中。它会自动识别您正在使用的语言和包管理器,为 Discovery 配置适当的集成方法,并找到可分析代码的更有效方法。
Black Duck 技术
