synopsys black duck by raibow security

Black Duck Binary Analysis

Обзор

Black Duck Binary Analysis – платформа для анализа состава программного обеспечения (SCA), помогающая Вам управлять комплексом рисков, связанных с использованием сложного цикла разработки программных продуктов. Расширяйте возможности групп закупки, сопровождения и разработки с помощью платформы, дающей возможность увидеть и понять состав коммерческих приложений, готовых бинарных файлов и другого стороннего ПО.

Управляйте рисками безопасности, лицензирования и качества кода в вашем цикле разработки ПО

Описание рисков

Для ускорения внедрения новых решений и повышения эффективности в критически важной бизнес-инфраструктуре, организации используют системы и программное обеспечение от различных поставщиков. Их требования по лучшему и скорейшему внедрению технологий всё больше зависят от сложности поддержки сторонних компонентов. Данный подход имеет множество преимуществ, но одновременно и несёт в себе множество рисков безопасности.

• Программная мозаика. 

Практически все программное обеспечение включает в себя сторонние компоненты (open source), включая бесплатное программное обеспечение с открытым исходным кодом (FOSS), готовый коммерческий код (COTS), и уже разработанные внутри компании компоненты, сторонние компоненты редко создастся полноценно безопасными, и потому могут иметь уязвимости. 

• Отсроченная ответственность.

Пользователи программного обеспечения и операционных систем часто неправильно полагают, что безопасность и надежность являются главными обязанностями их поставщиков программного обеспечения - и, следовательно, несут большой и неосознанный риск от непроверенной цепочки поставок программного обеспечения.

• Эпицентр атаки. 

Уязвимое стороннее программное обеспечение представляет собой слабое звено в программном коде, и очень часто является «точкой входа» для злоумышленников.

Ключевая особенность Black Duck

Black Duck Binary Analysis быстро генерирует полную спецификацию программного обеспечения (BoM), по которому отслеживает все сторонние компоненты и компоненты с открытым исходным кодом, и идентифицирует известные уязвимости, ассоциированные лицензии и проблемы качества кода. Благодаря тому, что Black Duck Binary Analysis анализирует бинарные файлы, в отличии от исходного кода, он может виртуально сканировать любое программное обеспечение, включая настольные и мобильные приложения, встраиваемое программное обеспечение, и прочее ПО.

Простая в использовании панель инструментов

Black Duck Binary Analysis имеет интерактивный интерфейс с высокоуровневым обзором состава, и общего состояния отсканированного программного обеспечения. Представленная сводка включает в себя следующее:

• Спецификация программного обеспечения (BoM). Black Duck используя бинарный анализ создает спецификацию ПО, в которой содержится подробный информационный отчет о каждом идентифицированном стороннем компоненте, включая версию, местоположение, лицензионные обязательства, известные уязвимости и многое другое.

• Оценка уязвимости. Black Duck Binary Analysis использует высокоуровневый проприетарный

механизм для создания расширенного перечня актуальной информации для каждой уязвимости из национальной базы данных уязвимостей (NVD), включая общие уязвимости

и риск воздействия (CVE), а также степень серьезности угрозы.

• Отчет о лицензиях с открытым исходным кодом. Бинарный анализ Black Duck поможет вам избежать нарушения лицензионных условий, путем определения применимых лицензий и любых потенциальных конфликтов.

Ключевые преимущества

С помощью Black Duck Binary Analysis Вы можете анализировать программное обеспечение, без доступа к исходным файлам, быстро и легко выявлять слабые звенья в вашей цепочке поставок программного обеспечения.

• Сканирование практически любого программного обеспечения или прошивки, за считанные минуты позволит Вам получить отчетность по любому встроенному программному обеспечению или прошивке, включая настольные и мобильные приложения, системные прошивки, виртуальные устройства и многое другое.

• Исходный код не требуется! Просто загрузите программное обеспечение, которое Вы желаете оценить, и Black Duck Binary Analysis проведет бинарный анализ, или анализ запущеного приложения за считанные минуты. Данная техника «черного ящика» имитирует подход атакующего к обнаружению уязвимостей.

• Получите всеобъемлющий BoM. Определите и каталогизируйте все стороннее программные компоненты и лицензии.

• Управляйте своим профилем риска. Проведение диагностик состояния программного обеспечения через выявления известных уязвимостей и лицензионных обязательств в программных компонентах позволит Вам принимать информированные решения при использовании и закупке программного обеспечения, благодаря реалистичным метрикам.

• Активно боритесь с уязвимостями кода, получая автоматические оповещения для вновь обнаруженных уязвимостей в ранее отсканированном программном обеспечении.

• Наслаждайтесь гибкой моделью получения информации. Black Duck Binary Analysis доступен как в виде облачного сервиса (SaaS), так и в виде локальной инсталляции.

Отличия Synopsys

Synopsys помогает группам разработчиков создавать безопасное, высококачественное программное обеспечение, минимизируя риски и одновременно повышая скорость и производительность. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют группам быстро находить и исправлять уязвимости и дефекты в собственном коде, компонентах открытого исходного кода и поведении приложений. Благодаря сочетанию ведущих в отрасли инструментов, услуг и опыта, только Synopsys помогает организациям оптимизировать безопасность и качество в DevSecOps на протяжении всего жизненного цикла разработки программного обеспечения.