BlackduckSCA

Synopsys black duck be rainbow securiti

Black Duck –анализ состава программного обеспечения

Обзор

Black Duck - комплексное решение для управления безопасностью, соблюдением лицензионных соглашений, и рисков связанных с качеством кода, которые у Вас непременно возникнут в процессе использования открытого кода для приложений и контейнеров.
Forrester назвал Black Duck лидером в области анализа состава программного обеспечения (SCA).
Black Duck с высокой вероятностью определит сторонний код, позволит контролировать его по всей цепочке разработки программного обеспечения и на протяжении всего жизненного цикла приложения.

Обеспечение безопасности и управления открытым исходным кодом во всех цепочках разработки программного обеспечения.

Интегрированное решение для исходного кода и бинарных файлов

Только Black Duck сочетает в себе универсальное управление рисками в связи с использованием открытого исходного кода с глубокой проверкой бинарных файлов, что делает это решение лучшим в SCA классе. Оно поможет Вам минимизировать риски, связанные с использованием открытого исходного кода и прочего стороннего программного обеспечения.

В то время как открытый код составляет около 60% от общей базы кода, Black Duck позволяет Вашим группам разработки, эксплуатации, снабжения и безопасности:

• Найти и устранить уязвимости в Вашем коде на каждом этапе в SDLC, получив от Black Duck подробное руководство по их устранению с полным техническим описанием.

• Устранить риски, связанные с несоблюдения лицензионных соглашений по открытому коду и защитить Вашу интеллектуальную собственность, используя крупнейшую в индустрии базу знаний, которая поможет определить, какая, из более 2600 лицензий для открытого кода используется в Ваших приложениях, включая фрагменты кода из более крупных компонентов.

•Избежать перерасхода средств на разработку и разрушения рабочего кода с определенными метриками операционных рисков, связанными с плохим качеством открытого исходного кода.

•Провести виртуальное сканирование любого ПО, прошивок и открытого кода, чтобы создать полную спецификацию программного обеспечения (BOM) о том, что используется внутри. Инициировать сканирование практически любого программного обеспечения, в состав которого входит открытый исходный код.

•Автоматически отслеживать новые уязвимости, влияющие на Ваш BOM, с помощью пользовательских политик и триггеров рабочих процессов, которые ускорят внесение исправлений и снизят Ваши риски.

КЛЮЧЕВЫЕ ПРЕИМУЩЕСТВА BLACK DUCK:

Вы получайте более глубокий и более упорядоченный анализ

Вы получайте более глубокий и более упорядоченный анализ.
Black Duck позволяет обнаружить больше используемых opensource компонентов с большей точностью благодаря уникальной мультифакторной технологии детектирования, включающей в себя генерацию и проверку полной спецификации программного обеспечения (BOM), отслеживание задекларированных компонентов, сигнатурный анализ файлов, отслеживание зависимостей в процессе сборки, отслеживание сниппетов. Интеллектуальный сканер Black Duck интегрируется с инструментами разработки SDLC и автоматически обнаруживает ресурсы для оптимизации своей методологии сканирования.

Быстро найти и исправить уязвимости

Представление о рисках области безопасности в OpenSourceу BlackDuck консолидируется из различных источников: открытые источники (например, NVD), собственный анализ от команды исследовательского центра Synopsys Cybersecurity (CyRC). Вы будете получать уведомления о новых уязвимостях за 30 дней до того, как они будут опубликованы в NVD (уменьшая время для негативного воздействия). Так же Вам будет предоставлен доступ к нашим эксклюзивным расширенным базам данных об уязвимостях и рекомендациям по безопасности от Black Duck Security Advisories (BDSA).
Имея Black Duck, Вы получите:
• Критические показатели риска, технические сведения об уязвимостях, детализацию уязвимостей и анализ их влияния на Ваш проект.
• CVSS 2 и CVSS 3 баллы и данные из классификации CWE
• Перечисления и классификации шаблонов общих атак (CAPEC)
• Временные оценки, не предоставляемые в NVD
• Руководство по обновлению и исправлению на уровне компонентов, смягчающие факторы и
компенсирующие средства управления.
• Пользовательскую оценку риска уязвимости в соответствии с профилем риска вашей Компании.

Автоматическое применение политик безопасности и использования.

Настройте свои политики безопасности использования открытого исходного кода на основе комплексных критериев, которые включают: тип лицензии, серьезность уязвимости, версию open source компонента, и другие. У Black Duck внедрено применение политик с помощью автоматических триггеров рабочих процессов, уведомлений и двунаправленной интеграция с Jira, для быстрого инициирования исправлений и создания всевозможных отчетов.

Выявить риски вверсия opensource, даже без исходного кода!

Имея Black Duck в Вашем наборе инструментов, вы можете быстро и легко анализировать предоставленные поставщикомдвоичные файлы для выявления слабых звеньев в цепи поставляемого программного обеспечения без доступа к исходному коду! Получив взвешенные и качественные показатели риска для принятия обоснованных решений о целесообразности использования и приобретения технологий, Вы сможете и избежать предстоящих проблем в безопасности, прежде чем они подвергнут риску Вашу инфраструктуру.
Black Duck–незаменимый инструмент для интеллектуального сканирования, он автоматически определяет, является ли целевой объект сканирования сходным кодом, или же это скомпилированный двоичный файл. Затем он идентифицирует и каталогизирует всесторонние компоненты, которые он использует, ассоциированные с ними лицензии и известные уязвимости, влияющие на Ваши приложения.