SYNOPSYS BLACK DUCK BY RAIBOW SECURITY

Интеграция Coverity & Black Duck Binary Analysis

Обзор

Большая часть программного обеспечения, разработанного сегодня, использует сторонние или открытые компоненты, которые часто содержат уязвимости, подверженные кибератакам.
Приложения в критических областях, к которым относятся финансы, здравоохранение и национальная оборона, являются особенно привлекательной целью для хакеров и киберпреступников. Кроме того, компании-разработчики редко изучают условия сторонних лицензионных соглашений, оставляя этот код уязвимым для вопросов авторского права. Наше решение объединяет результаты бинарного анализа (Black Duck) и статического анализа(Coverity) в стандартный рабочий процесс сортировки дефектов для диагностики потенциально опасных уязвимостей и правовых рисков связанными с лицензионными соглашениями на сторонне компоненты.

Определите известные уязвимости открытого кода, а затем используйте данные о них в Coverity Connect.

Решение Black Duck Binary Analysis

Black Duck Binary Analysis - это платформа для анализа двоичного и исполняемого кода, которая решает проблемы лицензирования и безопасности для фрагментов открытого кода в программном обеспечении.

Black Duck Binary Analysis может сканировать практически любое программное обеспечение или системы, включая настольные и мобильные приложения, встроенные системные прошивки и многое другое.

Он быстро определяет сторонние и открытые компоненты, известные уязвимости, типы лицензий и другие потенциальные риски.

Coverity Connect

Coverity Connect - это комплексный, совместный интерфейс управления проблемами, он позволяет Вам каталогизировать opensource код и его состояние, а также оценивать и сортировать результаты в проекте.

Такие показатели как, количество новых, фиксированных и нерешенных уязвимостей, обеспечивают данные о дефектах, обнаруженных за все время использования компонентов открытого кода.

Как работает интеграция?

Интеграция работает либо с облачной версией Black Duck Binary Analysis, либо с локально установленной платформой. Также предоставляется новый экземпляр Coverity Connect (или уже существующий), и решение, на основе сценариев, устанавливается в среду Заказчика. Это автоматизирует процессы загрузки приложения, отслеживания сканирования, извлечения информации об уязвимостях и лицензировании сторонних производителей, а также передачу информации в Coverity Connect. Решение можно настроить на автоматическое сканирование каждой новой версии приложения, для оперативного выявления новых уязвимостей, и проверки исправлений для уже ранее найденных.

SYNOPSYS BLACK DUCK BY RAIBOW SECURITY

Основы

Black Duck Binary Analysis выявляет критические уязвимости и информацию о лицензиях на сторонние компоненты в приложениях.

Скриптовое решение

• Black Duck Binary Analysis передает обнаруженные уязвимости в CoverityConnect;
• Рассчитывает балл CVSS и обозначает критичность для каждой уязвимости;
• Показывает новые и исправленные уязвимости. 

подробные выводы

• Выдает ссылку на базу данных Black Duck Binary Analysis, (проект с массивом данных);
• Выдает ссылку на национальную базу уязвимостей. (NWD);
• Выдает информацию об авторских правах;
• Автоматически объединяет похожие уязвимости в один дефект.

Представление результатов

Интеграция обеспечивает удобную для разработчиков презентацию результатов в Coverity. Имеет опции для оценки и сортировки. Результаты сканирования включают технические описания уязвимости, общую систему оценки уязвимостей (CVSS) и CVSS оценку критичности. Для каждой уязвимости, определенной с помощью Black Duck Binary Analysis, в Coverity Connect, где это необходимо, имеются ссылки на дополнительные данные, например, спецификацию программного обеспечения (BoM). Команды управления и безопасности могут просматривать отчеты о тенденциях, сохранять обновления в профиле риска для каждого приложения.

Ключевые преимущества:

Интеграция Black Duck Binary Analysis и Coverity обеспечивает превосходные результаты при анализе кодовой базы, а преимуществами от этого станут: 

• Эффективность. Быстрое сканирование практически любого программного обеспечения или прошивки на наличие известных уязвимостей.

• Комплексность. Определение качества программного обеспечения и проблем безопасности в коде (Coverity), а также уязвимостей в программных компонентах открытого кода (Black Duck Binary Analysis).

• Удобство. Просмотр всего реестра уязвимостях в одном привычном интерфейсе – Coverity Connect -с полезными ссылками на соответствующие данные.

• Наглядность. Управление всей цепочкой исполнения кода с помощью мощного SAST Coverity. Использование пользовательского интерфейса для управления уязвимостями.

• Действенность. Предоставление полного набора инструментов для активной борьбы с уязвимостями и ошибками кода. Оповещения о новых рисках в уже выпущенных продуктах и контроль процесса их устранения.

Резюме:

Интеграция Black Duck Binary Analysis и Coverity обнаружит уязвимости в стороннем коде. С помощью Coverity Connect Ваши ИТ-специалисты и-безопасники смогут определить уязвимости, влияющие на их приложения, и разработать план действий для целевого анализа этих уязвимостей сторонних производителей и информации о лицензировании. В долгосрочной перспективе Ваша организация сможет создать общекорпоративную политику для управления сторонним кодом, основанную на интеграции Black Duck Binary Analysis и Coverity.

Отличия Synopsys

Synopsys помогает группам разработчиков создавать безопасное, высококачественное программное обеспечение, минимизируя риски и одновременно повышая скорость и производительность. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют группам быстро находить и исправлять уязвимости и дефекты в собственном коде, компонентах открытого исходного кода и поведении приложений. Благодаря сочетанию ведущих в отрасли инструментов, услуг и опыта, только Synopsys помогает организациям оптимизировать безопасность и качество в DevSecOps на протяжении всего жизненного цикла разработки программного обеспечения.