快速找到并修复漏洞

Black Duck 的开源安全风险理念源自从公开渠道（如美国国家通用漏洞数据库，NVD）精 心挑选的数据以及 Synopsys 网络安全研究中心（CyRC）开展的详细的专有分析。用户可 在新漏洞发布到 NVD 之前的 30 天内得到通知（以缩短漏洞泄露时间窗口）并受益于我们专 有的增强型漏洞数据和 Black Duck 安全建议（BDSA），其中包括：

• 严重风险指标，特定于漏洞的技术理念，漏洞利用细节和影响分析
• CVSS 2 和 CVSS 3 评分以及 CWE 分类数据
• 常见攻击模式枚举和分类（CAPEC）
• 非 NVD 提供的临时评分
• 组件级升级和修复指导，缓解因素和补偿性控制
• 根据用户整体风险状况自定义漏洞风险评分

自动执行安全和使用策略

用户可基于全面的标准来配置开源安全和使用策略，包括许可证类型、漏洞严重程度及开源 组件版本等。也可通过自动工作流触发器、通知以及与Jira双向集成来执行策略，以加速启 动修复措施和报告流程。

识别开源风险，即使没有源代码亦可

将 Black Duck 置于用户工具包中，就可以快速轻松地分析供应商提供的二进制文件，识别 出软件供应链中的薄弱环节，无需访问源代码。也可借助深入可行的风险指标做出明智的技 术使用和采购决策，以免因决策不当而遭遇风险。Black Duck 的智能扫描客户端能够自动确 定目标软件是源代码软件还是编译好的二进制文件，最后识别出所有的第三方软件组件、相 关许可、以及影响应用程序的已知漏洞，并加以分类。

通过自动化灵活地扩展模糊测试

无论是扫描测试目标，还是确定待连接的层数，Defensics 都提供了丰富的 API，可以实现 灵活、可扩展的自动化功能，以满足用户的所有需求：

• 测试单一设备
• 设置可重复的自动化过程，以确保每次都遵循测试计划
• 利用最新的可扩展虚拟化功能缩短测试时间

全面的报告及合规可视性

Polaris 集成了 Synopsys 分析引擎，包括 Coverity 静态分析和 Black Duck® 软件成 分分析工具以及 Synopsys 托管服务，从而可在软件开发生命周期（SDLC）的不同 阶段就软件风险状况为企业提供整体视图。

• 安全团队可就整个应用组合获得有关风险状况的汇总信息。API 允许他们将结果导 入至其他的风险报告工具。
• 您可逐类筛选已确定的漏洞、查看趋势报告、根据严重程度为漏洞修复分配优先级、 同时跨越多个团队和项目来管理安全政策合规性（如 OWASP Top 10、CWE/SANS Top 25 和 PCI DSS）。
• “问题变化”报告可显示不同时段的问题严重程度，并且即时为您提供项目安全状 况信息。PDF 报告下载功能允许审计人员维护具体的合规记录。

企业级可扩展性和敏捷性

• 通过 Coverity on Polaris，企业无需安装并维护昂贵的本地设备，而是可以通过 弹性地扩展软件应用安全测试来满足不断增长的业务需求。
• 如想安装 Polaris，您只需登录 URL、然后下载并安装命令行界面 (CLI) 即可。或者， 您也可以通过 CI 工作流来运行 Polaris，以开始分析源代码。
• 由于 Coverity 分析引擎运行在高可用的云平台上，因此，Coverity on Polaris 可 通过轻松扩展来容纳数以千计的开发者和项目，并可在不影响高性能和可用性 的情况下处理数百万个问题。
• Code Sight 插件无需配置，可从 Visual Studio、Eclipse、IntelliJ、WebStorm、 PyCharm 和 RubyMine 网站直接下载。

软件开发生命周期（SDLC）集成

• Coverity 可 与 IDE（ 如 Visual Studio、Eclipse、IntelliJ、RubyMine、Team Foundation Server 和 Android Studio）、源代码管理 (SCM) 解决方案、问题跟 踪工具（如 Jira 和 Bugzilla）、CI 构建工具 (Jenkins) 以及应用生命周期管理解 决方案 (ALM) 集成。
• 内置的 REST API 可用于支持其他的构建自动化解决方案，并将分析结果导入至 其他的企业或自定义工具。
• Coverity on Polaris 可以提供额外的插件与集成，允许您在开发和预部署阶段开 展基于云的自动安全测试。
• 内置的 REST API 可用于将分析结果导入至安全和风险报告工具。如想了解更多 信息，请参阅 Polaris 产品简介。

全面的问题管理仪表板

• 除了为基于 IDE 的本地开发提供 Code Sight 外，Coverity on Polaris 基于 Web 的统一平台界面还能针对已确定的问题提供详细说明、类别、严重性、CWE 信息、 缺陷位置、具体的补救指导、数据流跟踪、以及集中式问题分类和详细历史记 录等支持，从而帮助开发人员修复该等问题。
• 开发经理可通过创建“问题变化”趋势图来显示整体安全风险及行业标准合规 情况（如 OWASP Top 10 和 CWE/SANS Top 25），同时指导每名开发人员或整 个项目团队合理修复高优先级问题。
• 您可轻松查看描述“业界认可优先级列表”、“5 类最关键问题”和“技术风险 指标”的报告仪表板，从而集中精力去解决对贵公司而言最为重要的问题并为 其分配优先级。
• 预定义的过滤器允许您根据 CWE、标准分类法、优先级列表、风险指标、路径 以及相关产品的开发负责人等参数对问题进行过滤和分组。

扩展了标准合规与漏洞检测范围

Coverity Extend 是一种易用的软件开发包 (SDK)，允许开发人员检测独有的缺陷类 型。这个 SDK 是为编写程序分析器或检查器提供的一个框架，帮助他们识别自定义 或特定领域的缺陷。Coverity CodeXM 是一种面向特定领域的函数式编程语言，使 开发人员可以轻松地开发他们自己的自定义检查器。这些定制化检查器还有助于满 足企业安全要求和行业标准或指导方针的合规要求。

综合性的模糊测试解决方案

Defensics 提供 250 多种的基于规范生成的测试套件，可确保快速完成模糊测试，并减轻用 户进行手动测试的负担。Defensics 不断针对新的输入类型、规范和 RFC 来更新测试套件。

• 通过微调消息序列用户可以自定义 Defensics 提供的任何测试套件。数据序列编辑器能够 帮助用户覆盖 Defensics 预定义范围之外的非常规极端用例（corner case）。
• 需要更大的可扩展性？可以使用 Defensics 提供的各种模板模糊测试套件（fuzzer）。 Universal Data Fuzzer（通用数据模糊测试套件，一种文件格式模板模糊测试套件）和 Traffic Capture Fuzzer（流量采集模糊测试套件，一种针对协议的模板模糊测试套件）能 够通过对用户提供的示例文件进行逆向工程来生成测试用例。
• 如何应对私有的或自定义的输入类型？用户可以利用 Defensics SDK 来编写自己的测试 套件，该 SDK 支持 Java 和若干可选的传输层，并附带有连接检测功能。

适合大多数开发生命周期

Defensics 包含多种工作流程，这使得无论从技术角度，还是从流程角度都能够适应几乎任 何环境。无论用户采用传统的 SDL 或是 CI 开发生命周期，Defensics 都可以帮助把模糊测 试尽早集成到开发过程中，使用户能够更经济高效地捕获和修复漏洞。已经拥有一套非常规 的开发生命周期？Synopsys 经验丰富的专业服务团队可以帮助用户确定模糊测试检查点、 定义模糊测试指标并建立模糊测试成熟度计划。

这不仅仅涉及到适应开发流程；这也涉及到与外围技术相配合。API 和数据导出功能使得 Defensics 可以共享数据，以进行额外的报告和分析，从而让 Defensics 成为真正的即插即 用模糊测试工具。

详细的、数据丰富的报告有助于进行有效的修复

• 上下文相关的日志。修复日志能够详细描述 Defensics 与被测系统（SUT）之间的协议路 径和消息序列，以帮助用户发现每个漏洞的触发点和技术影响。
• 漏洞映射。Defensics 能够将每个漏洞映射为诸如 CWE 和注入类型等行业标准，以加强 信息发现并加速修复工作。
• 问题重现。Defensics 能够将漏洞触发点的范围缩小至单一测试用例，用户可以重现相关 问题并对修复进行验证。
• 修复包。为用户的软件供应商生成加密修复包，以便在供应链中开展安全、协作性的修复 工作。

通过自动化灵活地扩展模糊测试

无论是扫描测试目标，还是确定待连接的层数，Defensics 都提供了丰富的 API，可以实现 灵活、可扩展的自动化功能，以满足用户的所有需求：

• 测试单一设备
• 设置可重复的自动化过程，以确保每次都遵循测试计划
• 利用最新的可扩展虚拟化功能缩短测试时间