Analiza składu oprogramowania Black Duck

Czarna kaczka

Analiza składu oprogramowania

Zabezpiecz i zarządzaj oprogramowaniem open source w całym łańcuchu dostaw oprogramowania

Nadview

Black Duck to kompleksowe rozwiązanie do zarządzania zagrożeniami związanymi z bezpieczeństwem, zgodnością licencji i jakością kodu, które wynikają z używania oprogramowania typu open source w aplikacjach i kontenerach. Nazwany przez firmę Forrester liderem w dziedzinie analizy składu oprogramowania (SCA), Black Duck zapewnia niezrównany wgląd w kod firm trzecich, umożliwiając kontrolę nad nim w całym łańcuchu dostaw oprogramowania i przez cały cykl życia aplikacji.

Zintegrowane rozwiązanie dla źródeł i plików binarnych

Tylko Black Duck łączy wszechstronne zarządzanie ryzykiem typu open source z głęboką inspekcją binarną, aby zapewnić najlepsze w swojej klasie rozwiązanie SCA, które pomaga zminimalizować ryzyko związane z oprogramowaniem open source i innym oprogramowaniem firm trzecich. W czasie, kiedy open source stanowi 70% średniej bazy kodu, Black Duck umożliwia zespołom ds. Rozwoju, operacji, zaopatrzenia i bezpieczeństwa:

• Znajdź i napraw luki w zabezpieczeniach w każdym stage w SDLC, ze szczegółowymi, specyficznymi dla luki wskazówkami dotyczącymi naprawienia i wglądem technicznym.
• Eliminacja ryzyka niezgodności licencji open source i chroń swoją własność intelektualną, korzystając z największej w branży bazy wiedzy typu open source, aby określić, które z 2,650 licencji są odpowiednie dla oprogramowania typu open source w Twoich aplikacjach (w tym fragmenty kodu z większych komponentów).
• Unikaj przekroczenia kosztów rozwoju i zaniku kodu walki z miernikami ryzyka operacyjnego związanymi z niską jakością kodu open source.
• Skanuj praktycznie każde oprogramowanie, oprogramowanie sprzętowe i kod źródłowy aby wygenerować obszerną listę materiałów (BOM) tego, co jest w środku.
• Automatycznie monitoruj nowe luki w zabezpieczeniach które mają wpływ na Twój BOM, z niestandardowymi zasadami i wyzwalaczami przepływu pracy w celu przyspieszenia działań naprawczych i zmniejszenia narażenia na ryzyko.
  1

Szybko znajduj i naprawiaj luki w zabezpieczeniach

Wgląd w otwarte oprogramowanie Black Duck na temat zagrożeń bezpieczeństwa łączy wyselekcjonowane dane ze źródeł publicznych (np. NVD) i szczegółową, zastrzeżoną analizę z Synopsys Cybersecurity Research Center (CyRC). Otrzymuj powiadomienia o nowych lukach w zabezpieczeniach na tygodnie przed ich opublikowaniem w NVD (skracając okno narażenia) i korzystaj z naszych wyjątkowych, ulepszonych danych dotyczących luk w zabezpieczeniach oraz porad bezpieczeństwa Black Duck (BDSA), w tym:

• Krytyczne wskaźniki ryzyka, szczegółowe informacje techniczne dotyczące luk w zabezpieczeniach, szczegóły dotyczące eksploatacji i analiza wpływu
• Punktacja CVSS 2 i CVSS 3 oraz dane klasyfikacyjne CWE
• Typowe wyliczanie i klasyfikacja wzorców ataku (CAPEC)
• Punktacja czasowa nie jest przewidziana przez NVD
• Wskazówki dotyczące uaktualniania i naprawiania na poziomie komponentów, czynniki łagodzące i kontrole kompensujące
• Analiza wpływu podatności na atak w celu określenia, czy kod podatny na ataki jest wywoływany przez aplikację
• Niestandardowa ocena ryzyka podatności na ryzyko w Twojej firmiefile
• Luki w zabezpieczeniach są traktowane priorytetowo w celu naprawy wielu krytycznych punktów danych, w tym ważności, dostępności rozwiązania, możliwości wykorzystania, CWE i osiągalności

Automatycznie wymuszaj zabezpieczenia i używaj zasad

Skonfiguruj zabezpieczenia typu open source i stosuj zasady w oparciu o szeroki wachlarz kryteriów, w tym typ licencji, wagę luki w zabezpieczeniach, wersję komponentu open source i inne. Egzekwuj zasady dzięki automatycznym wyzwalaczom przepływu pracy, powiadomieniom i dwukierunkowej integracji z Jira w celu przyspieszonego inicjowania działań naprawczych i raportowania.

Identyfikuj zagrożenia związane z otwartym oprogramowaniem, nawet bez kodu źródłowego

Dzięki Black Duck w zestawie narzędzi możesz szybko i łatwo analizować pliki binarne dostarczone przez dostawców, aby zidentyfikować słabe ogniwa w łańcuchu dostaw oprogramowania bez dostępu do kodu źródłowego. Uzyskaj szczegółowe, przydatne wskaźniki ryzyka, aby podejmować świadome decyzje dotyczące wykorzystania i zakupu technologii, zanim narazią Cię na ryzyko. Inteligentny klient skanowania Black Duck automatycznie określa, czy oprogramowanie docelowe jest źródłowe, czy skompilowanym plikiem binarnym, a następnie identyfikuje i kataloguje wszystkie składniki oprogramowania innych firm, powiązane licencje i znane luki w zabezpieczeniach mające wpływ na Twoje aplikacje.

2

Czarna kaczka | Skanowanie Menedżera źródeł i pakietów

Łów

Języki

• C
• C++
• C#
• Clojure
• Erlang
• Golang
• Fajny
• Jawa
• JavaScript
• Kotlin
• Node.js
• Cel-C
• Perłowy
• Pyton
• PHP
• R
• Rubin
• Skala
• Szybki
• Technologie chmury .NET

Kierownicy paczek

• Pobierz
• Klątwa
• Vndr
• Godep
• Zależny
• Maven
• Gradle
• Npm
• KakaoPods
• Cpanm
• Konda
• Gruszka
• Kompozytor
• Pypeć
• Neotoma
• RubyGems
• SBT

Obsługa menedżera pakietów BDBA

• Distro-package-manager: wykorzystuje informacje z bazy danych menedżera pakietów dystrybucji Linuksa w celu wyodrębnienia informacji o składnikach.
• Pozostałe cztery metody mają zastosowanie tylko do kodu bajtowego Java:

–pom: wyodrębnia pakiet Java, nazwę grupy i wersję z pliku pom.xml lub pom.properties files w JAR file.

–manifest: wyodrębnia nazwę i wersję pakietu Java z wpisów w pliku MANIFEST.MF file w słoiku file.

-słoik-filename: Wyodrębnia nazwę i wersję pakietu Java z pliku jar-filenazwa.

–hashsum: używa sumy kontrolnej sha1 z JAR file aby wyszukać go w znanych projektach Java zarejestrowanych w Maven Central.

Formaty binarne

• Natywne pliki binarne
• Pliki binarne Java
• Pliki binarne .NET
• Idź do plików binarnych

Formaty kompresji

• kompresja zip (.gz)
• bzip2 (.bz2)
• LZMA (.lz)
• LZ4 (.lz4)
• Kompresuj (.Z)
• XZ (.xz)
• Pakiet 200 (.jar)
• UPX (.exe)
• Żwawy
• DEFLATE
• zStandardowy (.zst)

Formaty archiwalne

• ZIP (.zip, .jar, .apk i inne pochodne)
• XAR (.xar)
• 7-Zip (.7z)
• ARJ (.arj)
• TAR (.smoła)
• TAR maszyny wirtualnej (.tar)
• cpio (.cpio)
• RAR (.rar)
• LZH (.lzh)
• Archiwum elektronów (.asar)
• WYSYPISKO

Formaty instalacji

• RPM Red Hat (.rpm)
• Pakiet Debiana (.deb)
• Instalatory dla komputerów Mac (.dmg, .pkg)
• Powłoka Unix file instalatory (.sh, .bin)
• Instalatory Windows (.exe, .msi, .cab)
• Pakiet instalacyjny vSphere (.vib)
• Instalator Bitrock
• Obsługiwane formaty generatora instalatora:

–7z, zip, rar samorozpakowujący .exe

–Instalator MSI

–Instalator CAB

– Zainstaluj w dowolnym miejscu

–Zainstaluj4J

– InstallShield

–InnoSetup

–Mądry instalator

–Skryptowy system instalacji Nullsoft (NSIS)

–Instalator WiX

Formaty oprogramowania układowego

• IntelHEX
• SREK
• U-Boot
• Oprogramowanie Arris
• Oprogramowanie Juniper
• Oprogramowanie układowe Kosmos
• Android rzadki file system
• Oprogramowanie Cisco

File systemy / obrazy dysków

• ISO 9660 / UDF (.iso)
• Obrazowanie systemu Windows
• ext2 / 3/4
• JFFS2
• UBIFS
• RomFS
• Obraz dysku Microsoft
• Macintosh HFS Macintosh
• VMware VMDK (.vmdk, .ova)
• Kopiowanie przy zapisie QEMU (.qcow2)
• VirtualBox VDI (.vdi)
• QNX — EFS, IFS
• Obraz NetBoot (.nbi)
• FreeBSD UFS

Matów

• Doker

Tylko czarna kaczka

Tylko BDBA

3

Czarna kaczka | Integracje

Technologie chmurowe

Platformy chmurowe

• Amazonka Web Usługi
• Platforma Google Cloud
• Microsoft Azure

Platformy kontenerowe

• Doker
• Otwórz Shift
• Odlewnia chmur obrotowych
• Menedżerowie pakietów Kubernetes

Bazy danych

• PostgreSQL

• Zaćmienie
• Środowisko IDE Visual Studio

• Jenkins
• ZespółCity
• Bambus
• Serwer Team Foundation
• Travis CI
• CircleCI
• GitLab CI
• Usługi zespołowe Visual Studio
• Hala CI
• Tworzenie kodu AWS
• Kodowanie

• Dżira
• Luźny
• E-mail
• SPDX

• Artefakty
• Ogniwo

• IBM AppScan
• Mikro Skupienie Fortify
• SonarQube
• Naprawa wątku
• Cybryka
• Kod Dx

4

Analiza składu oprogramowania Black Duck - Zoptymalizowany PDF
Analiza składu oprogramowania Black Duck - Oryginalny plik PDF