DevOps 集成

敏捷开发 依靠自动化开发和测试来缩短产品上市时间并提高产品质量。Synopsys 的 Black Duck 帮助您确保应用程序不含开源漏洞并且 符合您的自动化 DevOps 框架汇总的开源许可与使用政策 。开源集成使用方便,适合最流行的开发工具和 REST API,支持您为几乎任何商业或自定义开发环境构建自己的集成,为您实现灵活、安全与合规。

IDE 集成

借助 Black Duck IDE 集成,您在通过 Black Duck  的源文件扫描进行编码时能够找出开源安全缺口。将这些插件插入代码后,即可自动扫描开源组件,帮助您在签入代码之前检查组件安全信息并采取补救措施。

持续集成 (CI) 工具集成

Black Duck CI 集成帮助您在 CI 构建过程中完成配置和自动化扫描。扫描结果可在 Black Duck 和 CI 用户界面查看。可以配置 Black Duck 中定义的开源应用程序安全、许可和使用政策,使其在 CI 工具中显示警报或引起构建失败,从而使你能够根据项目类型和构建阶段配置实施。

包管理器和构建工具

借助 Black Duck,您可以使用从构建环境本身获取的依赖性信息来增加发现的开源和二进制文件扫描。Black Duck 监测自动收集和报告 Black Duck 的项目依赖性,将来自两个来源的数据组合成一份高度完整而准确的开源材料清单 (BoM)。

缺陷和问题跟踪集成

Black Duck 缺陷和问题跟踪集成帮助您在已用于管理开发和测试工作的系统中生成、跟踪和管理与 Black Duck 政策违规和安全警报相关的问题(亦称为“票证”)。

从 GitHub 下载

二进制仓库集成

Black Duck 二进制存储库集成可帮助您确保开发人员使用的代码制品符合开源使用政策,并且不受已知漏洞的影响。这些插件扫描存储库中已有的和新增的工件,防止不合规的制品进入或扩散。此外,如果新的安全风险或政策影响存储库中的制品,Black Duck 的漏洞和政策监控将会提醒你。

应用程序安全套件集成

Black Duck 的应用程序安全套件集成让 用户对组成其应用程序的自定义代码和开源组件中存在的应用程序漏洞一目了然。这种采用静态应用程序安全性测试 (SAST) 结果集成展示开源漏洞的形式可帮助团队确定整个应用程序代码库的优先顺序并跟踪修复工作。

容器平台集成

Docker 容器正在彻底改变应用程序的封装和部署方式。容器简化了开发团队持续集成和交付 (CI/CD) 应用程序的工作,但也加剧了运营团队面临的 应用安全与合规性管理 挑战。Black Duck  容器有助于在部署之前、期间和之后确保 容器不含开源漏洞 并且符合开源政策。

Docker

嵌入式!

Black Duck 应用程序编程接口

除了预先置入集成之外,您还可以通过 Black Duck 的 一系列 REST API,开发自己的自定义集成。它们支持各类配置、自动化、政策管理和提醒功能。Black Duck 用户界面提供了文档和交互式示例。

SPDX 集成

软件包数据交换® (SPDX®) 是一套不断发展的标准,主要是针对软件 包相关的开源内容、许可以及版权的沟通标准。 该标准旨在帮助软件供应链中的企业轻松履行软件许可义务。 

SPDX 提供统一的方法来记录和共享软件物料清单 (BoM),使供应链合作伙伴更有效地进行沟通。 该标准的制定和维护机构为  Linux 基金会的 SPDX 工作小组

请访问  www.spdx.org,了解更多关于软件包数据交换规范的详情。

量身定制。都是开源。

大多数 Black Duck 集成都是作为  Apache 2.0 开源许可项下的开源集成提供的。可对其进行自定义,以满足您的环境的特定需求,或以它们为模型,使用您自己的工具创建新的集成。有一项能让用户受益的改变? 向社会回馈您作出的改变。有关当前集成的更多信息和问题跟踪器以及最新的集成和版本,请参见  GitHub 上的 Black Duck 页面

准备好更加快速地构建安全优质的软件了吗?

联系软件安全与质量专家