汽车电子
为客户提供ECU软硬件开发一体化解决方案:
Black Duck(黑鸭)是一款综合解决方案,用于管理因在应用程序和容器中使用开源代码而带来的安全性、许可合规性及代码质量风险。Black Duck被Forrester评为软件成分分析(SCA)领域的领导者,可为您提供无与伦比的第三方代码可视性,使您能够在整个软件供应链和应用程序生命周期中对其进行控制。
发现
保护
管理
只有Black Duck(黑鸭)能将多种多样的开源风险管理与深度二进制检查功能相结合来提供一流的SCA解决方案,最大程度地减少与开源和其它第三方软件相关的风险。在开源代码比例平均占到代码库60%的时代,Black Duck能够帮助开发、运营、采购和安全团队:
01
更深入、更简单的分析
02
快速找到并修复漏洞
03
自动执行安全和使用策略
04
识别开源风险
05
灵活的扩展模糊测试
开展更深入、更简单的分析
Black Duck 使用独特的多因素检测技术来生成完整的 BOM,并加以验证,以跟踪声明的组件、独特的文件哈希签名、构建过程中解析的依赖关系和开源代码片段,从而更加精准地识别出更多的开源代码。Black Duck 的智能扫描客户端与整个SDLC中使用的开发工具相集成,能够自动检测资源以优化其扫描方法。
快速找到并修复漏洞
Black Duck 的开源安全风险理念源自从公开渠道(如美国国家通用漏洞数据库,NVD)精 心挑选的数据以及 Synopsys 网络安全研究中心(CyRC)开展的详细的专有分析。用户可 在新漏洞发布到 NVD 之前的 30 天内得到通知(以缩短漏洞泄露时间窗口)并受益于我们专 有的增强型漏洞数据和 Black Duck 安全建议(BDSA),其中包括:
自动执行安全和使用策略
用户可基于全面的标准来配置开源安全和使用策略,包括许可证类型、漏洞严重程度及开源 组件版本等。也可通过自动工作流触发器、通知以及与Jira双向集成来执行策略,以加速启 动修复措施和报告流程。
识别开源风险,即使没有源代码亦可
将 Black Duck 置于用户工具包中,就可以快速轻松地分析供应商提供的二进制文件,识别 出软件供应链中的薄弱环节,无需访问源代码。也可借助深入可行的风险指标做出明智的技 术使用和采购决策,以免因决策不当而遭遇风险。Black Duck 的智能扫描客户端能够自动确 定目标软件是源代码软件还是编译好的二进制文件,最后识别出所有的第三方软件组件、相 关许可、以及影响应用程序的已知漏洞,并加以分类。
通过自动化灵活地扩展模糊测试
无论是扫描测试目标,还是确定待连接的层数,Defensics 都提供了丰富的 API,可以实现 灵活、可扩展的自动化功能,以满足用户的所有需求:
Coverity® 为您提供开发高质量安全应用所需的速度、易用性、准确性、行业标准 合规性及可扩展性。在早期开发阶段,即修复成本最低、修复难度最小的阶段, Coverity 便能随代码的编写及时识别出代码中严重的软件质量缺陷和安全漏洞。精 确且可操作的补救建议和特定于上下文的 eLearning 在线学习指导,能够帮助贵公 司的开发人员快速了解如何解决严重问题,而无需成为安全专家。Coverity 可将自 动安全测试无缝集成到您的 CI/CD Pipeline 中,并支持您的现有开发工具和工作流。 您可自由选择开发位置和方法:内部部署或使用基于云的高可扩展应用安全平台 “Polaris Software Integrity Platform ™ (SaaS)”在云端部署。Coverity 支持 20 种 语言以及 70 多个框架和模板。
提高对安全风险的可视性。跨产品报告使用流的SAST和SCA工具以及Synopsys托管服务来提供有关项目风险的更完整的整体视图。
部署灵活性。您可决定对哪些项目开展 AppSec测试:内部项目还是云端项目。
及早开展安全测试。编码期间,开发人员只需几秒钟便可获得高保真增量分析结果,从而能在集中编译测试阶段开始之前修复任何问题。
开发人员支持。您可为开发团队提供他们所需的全部上下文、详细信息和建议,以帮他们了解如何解决问题,从而快速、轻松、合理地修复软件缺陷。
特定于上下文的在线学习(供eLearning在线学习用户使用)。可针对开发者自有代码中发现的缺陷制作特定的通用缺陷列表(CWE),从而根据需要随时提供安全培训,无需开发人员成为安全专家。
01
快速准确的分析
02
全面的报告及合规可视性
03
企业级可扩展性和敏捷性
04
软件开发生命周期集成
05
全面的问题管理仪表板
06
标准合规与漏洞检测范围
快速准确的分析
全面的报告及合规可视性
Polaris 集成了 Synopsys 分析引擎,包括 Coverity 静态分析和 Black Duck® 软件成 分分析工具以及 Synopsys 托管服务,从而可在软件开发生命周期(SDLC)的不同 阶段就软件风险状况为企业提供整体视图。
企业级可扩展性和敏捷性
软件开发生命周期(SDLC)集成
全面的问题管理仪表板
扩展了标准合规与漏洞检测范围
Coverity Extend 是一种易用的软件开发包 (SDK),允许开发人员检测独有的缺陷类 型。这个 SDK 是为编写程序分析器或检查器提供的一个框架,帮助他们识别自定义 或特定领域的缺陷。Coverity CodeXM 是一种面向特定领域的函数式编程语言,使 开发人员可以轻松地开发他们自己的自定义检查器。这些定制化检查器还有助于满 足企业安全要求和行业标准或指导方针的合规要求。
Defensics® 模糊测试产品是一款全面的、功能强大的自动化黑盒解决方案,能够帮助 企业有效且高效地发现并修复软件中的安全脆弱点。通过采取系统化、智能化的负面测 试(negative testing)方法,Defensics 可以帮助企业确保软件安全性,而不会影响产 品创新、延误产品上市时间或增加运营成本。Defensics 的逻辑用户界面能够引导用户完成其流程中的每个步骤,使得先进的模糊测 试变得易如反掌。
01
智能化模糊测试引擎
02
综合性的模糊测试解决方案
03
适合大多数开发生命周期
04
详细的、数据丰富的报告
05
灵活地扩展模糊测试
智能化模糊测试引擎
Defensics 引擎利用对输入类型的深入理解进行编程实现,无论这些输入类型是接口、 协议还是文件格式。由于该引擎对输入类型中管理通信的规则有深入的理解,因此它可 以生成有针对性的测试用例,充分利用相关输入类型固有的安全弱点。这种智能化、系 统化的模糊测试方法允许您既能够缩短测试时间,又能够降低成本、保证安全性。
综合性的模糊测试解决方案
Defensics 提供 250 多种的基于规范生成的测试套件,可确保快速完成模糊测试,并减轻用 户进行手动测试的负担。Defensics 不断针对新的输入类型、规范和 RFC 来更新测试套件。
适合大多数开发生命周期
Defensics 包含多种工作流程,这使得无论从技术角度,还是从流程角度都能够适应几乎任 何环境。无论用户采用传统的 SDL 或是 CI 开发生命周期,Defensics 都可以帮助把模糊测 试尽早集成到开发过程中,使用户能够更经济高效地捕获和修复漏洞。已经拥有一套非常规 的开发生命周期?Synopsys 经验丰富的专业服务团队可以帮助用户确定模糊测试检查点、 定义模糊测试指标并建立模糊测试成熟度计划。
这不仅仅涉及到适应开发流程;这也涉及到与外围技术相配合。API 和数据导出功能使得 Defensics 可以共享数据,以进行额外的报告和分析,从而让 Defensics 成为真正的即插即 用模糊测试工具。
详细的、数据丰富的报告有助于进行有效的修复
通过自动化灵活地扩展模糊测试
无论是扫描测试目标,还是确定待连接的层数,Defensics 都提供了丰富的 API,可以实现 灵活、可扩展的自动化功能,以满足用户的所有需求:
Copyright © 企威 Consulting 2013,All Right Reserved 备案号:沪ICP备13003941号-1 商务合作请联系:021-66016810
企威科技公众号