企威冷库软件,冷库专用软件,冷库管理系统,冷库设计软件,冷库仓储管理系统,冷库租凭管理系统

概述

Black Duck(黑鸭）是一款综合解决方案，用于管理因在应用程序和容器中使用开源代码而带来的安全性、许可合规性及代码质量风险。Black Duck被Forrester评为软件成分分析(SCA）领域的领导者，可为您提供无与伦比的第三方代码可视性，使您能够在整个软件供应链和应用程序生命周期中对其进行控制。

发现

在代码、二进制文件和容器中标识开源代码。
检测部分和修改后的组件。
通过DevOps集成进行自动扫描。

保护

将组件映射到已知漏洞。
识别出许可和组件质量风险。
监控开发和生产中的新漏洞。

管理

设置并执行开源代码的使用和安全策略。
通过 DevOps集成来自动执行策略。
对修复活动进行优先级排序与跟踪。

面向源代码和二进制

文件的集成解决方案

只有Black Duck(黑鸭）能将多种多样的开源风险管理与深度二进制检查功能相结合来提供一流的SCA解决方案，最大程度地减少与开源和其它第三方软件相关的风险。在开源代码比例平均占到代码库60%的时代，Black Duck能够帮助开发、运营、采购和安全团队:

在SDLC的每个阶段找到并修复安全漏洞，并提供详细的、特定于漏洞的修复指导和技术观点。
通过使用业界最大的开源知识库，从2600多个许可证中找出与用户应用程序中开源代码相关的许可证〈包括来自较大组件的代码片段)，从而消除开源许可证不合规的风险并保护用户的知识产权。
借助与开源代码质量相关的运营风险指标来避免开发成本超支和代码质量衰变。
几乎扫描所有的软件、固件和源代码，对其内部组件生成全面的物料清单(BOM)。
自动监控影响BOM的新漏洞，使用自定义策略和工作流触发器来加速修复漏洞并减少风险外泄。

01

更深入、更简单的分析
02

快速找到并修复漏洞
03

自动执行安全和使用策略
04

识别开源风险
05

灵活的扩展模糊测试

开展更深入、更简单的分析

Black Duck 使用独特的多因素检测技术来生成完整的 BOM，并加以验证，以跟踪声明的组件、独特的文件哈希签名、构建过程中解析的依赖关系和开源代码片段，从而更加精准地识别出更多的开源代码。Black Duck 的智能扫描客户端与整个SDLC中使用的开发工具相集成，能够自动检测资源以优化其扫描方法。

快速找到并修复漏洞

Black Duck 的开源安全风险理念源自从公开渠道（如美国国家通用漏洞数据库，NVD）精心挑选的数据以及 Synopsys 网络安全研究中心（CyRC）开展的详细的专有分析。用户可在新漏洞发布到 NVD 之前的 30 天内得到通知（以缩短漏洞泄露时间窗口）并受益于我们专有的增强型漏洞数据和 Black Duck 安全建议（BDSA），其中包括：

严重风险指标，特定于漏洞的技术理念，漏洞利用细节和影响分析
CVSS 2 和 CVSS 3 评分以及 CWE 分类数据
常见攻击模式枚举和分类（CAPEC）
非 NVD 提供的临时评分
组件级升级和修复指导，缓解因素和补偿性控制
根据用户整体风险状况自定义漏洞风险评分

自动执行安全和使用策略

用户可基于全面的标准来配置开源安全和使用策略，包括许可证类型、漏洞严重程度及开源组件版本等。也可通过自动工作流触发器、通知以及与Jira双向集成来执行策略，以加速启动修复措施和报告流程。

识别开源风险，即使没有源代码亦可

将 Black Duck 置于用户工具包中，就可以快速轻松地分析供应商提供的二进制文件，识别出软件供应链中的薄弱环节，无需访问源代码。也可借助深入可行的风险指标做出明智的技术使用和采购决策，以免因决策不当而遭遇风险。Black Duck 的智能扫描客户端能够自动确定目标软件是源代码软件还是编译好的二进制文件，最后识别出所有的第三方软件组件、相关许可、以及影响应用程序的已知漏洞，并加以分类。

通过自动化灵活地扩展模糊测试

无论是扫描测试目标，还是确定待连接的层数，Defensics 都提供了丰富的 API，可以实现灵活、可扩展的自动化功能，以满足用户的所有需求：

测试单一设备
设置可重复的自动化过程，以确保每次都遵循测试计划
利用最新的可扩展虚拟化功能缩短测试时间

语言
·C
·C++
·C#
·Erlang
·Golang
·Java
·JavaScript
·Kotlin
·Node.js
·Objective-C
·Swift
·Perl
·Python
·PHP
·R
·Ruby
·Scala
·.NET 云技术

包管理器
·NuGet
·Hex
·Vndr
·Godep
·Dep
·Maven
·Gradle
·Npm
·CocoaPods
·Cpanm
·Conda
·Pear
·Composer
·Pip
·Packrat
·RubyGems
·SBT

二进制格式
·本机二进制
·Java二进制
·.NET二进制
·Go二进制

压缩格式
·Gzip (.gz)
·bzip2 (.bz2)
·LZMA (.lz)
·LZ4 (.lz4)
·Compress (.Z)
·XZ (.xz)
·Pack200 (.jar)
·UPX (.exe)

安装包格式
·Red Hat RPM (.rpm)
·Debian软件包(.deb)
·Mac文件安装程序 (.dmg和.pkg)
·Unix shell 文件安装程序 (.sh和.bin)
·Windows文件安装程序 (.exe、.msi和.cab)

归档格式
·ZIP (.zip、.jar、.apk和其他衍生版本)
·XAR (.xar)
·7-Zip (.7z)
·ARJ (.arj)
·TAR (.tar)
·VM TAR (.tar)
·cpio (.cpio)
·RAR (.rar)
·LZH (.lzh)
·Electron档案(.asar)

固件格式
·Intel HEX
·SREC
·U-Boot
·Arris固件
·Juniper固件
·Kosmos固件
·Android稀疏文件系统
·Cisco固件

文件系统/磁盘映像
·ISO 9660 / UDF (.iso)
·Windows映像
·ext2/3/4
·JFFS2
·UBIFS
·RomFS
·Microsoft磁盘映像
·Macintosh HFS
·VMware VMDK (.vmdk和.ova)
·QEMU即写即拷(.qcow2)
·VirtualBox VDI (.vdi)
·QNX—EFS, IFS
·NetBoot映像(.nbi)

云技术

云平台
·Amazon Web Services
·Google Cloud Platform
·Microsoft Azure

容器平台
·Docker
·OpenShift
·Pivotal Cloud Foundry
·Kubernetes Package managers

数据库

·PostgreSQL

DevOps 工具

IDEs
·Eclipse
·Visual Studio IDE

持续集成
·Jenkins
·TeamCity
·Bamboo
·Team Foundation Server
·Travis CI
·CircleCI
·GitLab CI
·Visual Studio Team Services
·Concourse CI
·AWS CodeBuild
·Codeship

工作流和通知
·Jira
·Slack
·Email
·SPDX

二进制和源代码库
·Artifactory
·Nexus

应用安全套件
·IBM AppScan
·Micro Focus Fortify
·SonarQube
·ThreadFix
·Cybric
·Code Dx

Synopsys 的与众不同之处

Synopsys帮助开发团队构建安全的、高质量的软件，在最大限度地提高速度和生产力的同时将风险降至最低。Syrnopsys,是应用安全领域公认的领导者，提供静态分析、软件成分分析和动态分析等各类解决方案，助力开发团队快速查找并修复专有代码、开源代码以及应用行为中的漏洞和缺陷。Syrnopsys 兼备业界领先的工具、服务和专业知识，只有Synopsys能够帮助企业在 DevSecOps 乃至整个软件开发生命周期中优化安全性和质量。

有关详细信息，请访问www.synopsys.com/software.

Synopsys, Inc.

185 Berry Street, Suite 6500

San Francisco, CA 94107 USA

美国销售:800.873.8193

国际销售:+1 415.321.5237

电子邮件: sig-info@synopsys.com