Black Duck(黑鸭)是一款综合解决方案,用于管理因在应用程序和容器中使用开源代码而带来的安全性、许可合规性及代码质量风险。Black Duck被Forrester评为软件成分分析(SCA)领域的领导者,可为您提供无与伦比的第三方代码可视性,使您能够在整个软件供应链和应用程序生命周期中对其进行控制。
发现
保护
管理
只有Black Duck(黑鸭)能将多种多样的开源风险管理与深度二进制检查功能相结合来提供一流的SCA解决方案,最大程度地减少与开源和其它第三方软件相关的风险。在开源代码比例平均占到代码库60%的时代,Black Duck能够帮助开发、运营、采购和安全团队:
01
更深入、更简单的分析
02
快速找到并修复漏洞
03
自动执行安全和使用策略
04
识别开源风险
05
灵活的扩展模糊测试
开展更深入、更简单的分析
Black Duck 使用独特的多因素检测技术来生成完整的 BOM,并加以验证,以跟踪声明的组件、独特的文件哈希签名、构建过程中解析的依赖关系和开源代码片段,从而更加精准地识别出更多的开源代码。Black Duck 的智能扫描客户端与整个SDLC中使用的开发工具相集成,能够自动检测资源以优化其扫描方法。
快速找到并修复漏洞
Black Duck 的开源安全风险理念源自从公开渠道(如美国国家通用漏洞数据库,NVD)精 心挑选的数据以及 Synopsys 网络安全研究中心(CyRC)开展的详细的专有分析。用户可 在新漏洞发布到 NVD 之前的 30 天内得到通知(以缩短漏洞泄露时间窗口)并受益于我们专 有的增强型漏洞数据和 Black Duck 安全建议(BDSA),其中包括:
自动执行安全和使用策略
用户可基于全面的标准来配置开源安全和使用策略,包括许可证类型、漏洞严重程度及开源 组件版本等。也可通过自动工作流触发器、通知以及与Jira双向集成来执行策略,以加速启 动修复措施和报告流程。
识别开源风险,即使没有源代码亦可
将 Black Duck 置于用户工具包中,就可以快速轻松地分析供应商提供的二进制文件,识别 出软件供应链中的薄弱环节,无需访问源代码。也可借助深入可行的风险指标做出明智的技 术使用和采购决策,以免因决策不当而遭遇风险。Black Duck 的智能扫描客户端能够自动确 定目标软件是源代码软件还是编译好的二进制文件,最后识别出所有的第三方软件组件、相 关许可、以及影响应用程序的已知漏洞,并加以分类。
通过自动化灵活地扩展模糊测试
无论是扫描测试目标,还是确定待连接的层数,Defensics 都提供了丰富的 API,可以实现 灵活、可扩展的自动化功能,以满足用户的所有需求:
云技术
数据库
DevOps 工具
Synopsys 的与众不同之处
Synopsys帮助开发团队构建安全的、高质量的软件,在最大限度地提高速度和生产力的同时将风险降至最低。Syrnopsys,是应用安全领域公认的领导者,提供静态分析、软件成分分析和动态分析等各类解决方案,助力开发团队快速查找并修复专有代码、开源代码以及应用行为中的漏洞和缺陷。Syrnopsys 兼备业界领先的工具、服务和专业知识,只有Synopsys能够帮助企业在 DevSecOps 乃至整个软件开发生命周期中优化安全性和质量。
有关详细信息,请访问www.synopsys.com/software.
Synopsys, Inc.
185 Berry Street, Suite 6500
San Francisco, CA 94107 USA
美国销售:800.873.8193
国际销售:+1 415.321.5237
电子邮件: sig-info@synopsys.com