增强型漏洞数据

您正在开发的应用程序中是否存在开源漏洞? 昨天交付的应用程序呢?

每年都会报告数以千计的开源漏洞被发现。但与商业软件不同,没有任何一家供应商可以随时告知您或确保您使用最新的安全更新的开源组件。你必须自己保护自己。

Synopsys 的 Black Duck 漏洞数据库报告和全面的实时监控展现了您正在使用的开源中的已知漏洞,并在报告新漏洞时发出实时警报,在应用程序交付前后保护您的安全。

增强型漏洞数据:未被 NVD收录

其他解决方案单单依赖国家漏洞数据库 (NVD) 的数据,该数据库是美国政府基于标准的漏洞数据存储库。但是,许多漏洞和受影响的开源项目从未在 NVD 中记录过,并且通常添加到 NVD 的漏洞都是在发布几周之后才被列入的。面对这些风险,我们不能坐以待毙。

Black Duck 增强型漏洞数据 (EVD) 除了收录 NVD的漏洞之外,专设 Black Duck 安全研究团队的研究和分析来自多个来源的数据,以确保完整性和准确性,让您尽早收到预警并充分了解局面。

  • 当天即告知新报告的安全漏洞,比 NVD 提早了三周
  • 比 NVD 报告的漏洞更多
  • 可执行的缓解、变通和补救指南
  • 直接映射到受影响的应用程序,以快速评估风险
  • CWE 和 CVSS 2.0/3.0 严重性数据
  • 攻击证据和破坏信息

这是你和开源漏洞被黑客利用的角逐

开源被广泛使用,开源漏洞和漏洞利用被广泛报告——通常在同一天。这为黑客提供了必要工具和领先优势,帮助他们破坏成千上万个应用程序和网站。

漏洞一旦发布,角逐即告开始。必须找出并修复 应用程序中存在漏洞的开源 ,防止其被利用。Black Duck 通过向你全面展示在用的开源资源并且最早告知报告的新漏洞,帮助你在这场角逐中取胜,使你能够快速查找并修复漏洞。

Black Duck 在部署之前、期间和之后全程为您提供保护

新的开源漏洞通常要在引入几年之后才会被发现。为安全起见,在部署应用程序之后,面对漏洞,你必须长期保持主动地位。Black Duck 会在新的漏洞影响您的应用程序时持续监控并提醒您(无论是在开发还是在生产中)——全部操作均为自动、连续,无需重新扫描。Black Duck 在 应用程序的整个开发生命周期为您全程提供保障。

联系软件安全与质量专家