对比
从开发到部署期间提供安全保障和管理开源。Black Duck 提供全面的软件组件分析 (SCA) 解决方案,用于管理在应用程序和Docker中使用开源和第三方代码所带来的安全、质量和许可证合规性风险。Black Duck 为您提供无与伦比的第三方代码可视性,让你能够在整个软件供应链和整个应用程序生命周期中对其进行控制。
常见问题FAQ
由于人们误以为专有代码和开源代码中的漏洞可以通过相似方式进行检测和修复,开源安全性经常被忽略。现实情况是,SAST、DAST 等应用安全测试工具无法有效检测开源漏洞。进入 SCA。
SCA 和其他应用程序安全测试工具之间的关键区别在于分析的内容及其所处的状态。SCA 分析第三方开源代码的漏洞、许可证和运维因素,SAST 分析专有代码中的漏洞,而 DAST 则测试运行态应用程序中的脆弱行为。
全面的软件安全计划都包含 SAST 和 SCA。采用此类方法的组织可在 SDLC 中获得改进,包括:通过提前发现问题提高质量,更好地了解专有代码和开源代码,通过在开发早期检测和修复漏洞来降低补救成本,将安全漏洞风险降至最低,以及优化安全测试、使之有效且兼容敏捷开发。
Black Duck 提供便于使用的开源集成方案,适配最流行的开发工具并提供 REST API,可以针对几乎任何商业或定制的开发环境构建自己的集成。Black Duck 提供广泛的 SDLC 集成,包括 IDE、包管理器、CI/CD、问题跟踪等。
大多数解决方案仅仅是完全依赖于国家漏洞数据库 (NVD) 提供的数据。这种局限带来了一个问题,因为许多漏洞从未被记录在 NVD 中,而另有一些漏洞直到公开几周之后才被列入。Black Duck Security Advisories (BDSA) 超越 NVD,借助经由 Synopsys 网络安全研究中心 (CyRC) 研究和分析的增强型数据,保证完整性和准确性,尽早发出漏洞提醒并提供全面的见解。
大多数解决方案采用包管理器声明来识别开源组件。但如果不能扫描所声明范围之外的依赖项,您必然会错过某些开源组件。如果您不知道它的存在,就无法确保它安全与合规。
包管理器扫描会忽略开发人员未在包清单中声明的开源组件、C 和 C++ 等语言、内置在容器中的开源组件(不使用包管理器)、已修改的开源组件,或仍具有许可义务的部分代码片段。通过将文件系统扫描和代码片段扫描与构建过程监控相结合,Black Duck 提供了对未被包管理器跟踪的开源组件、部分开源片段和可能被修改或尚未声明的开源组件的可见性,以及对动态和间接依赖的组件和版本验证。
简单说,这是一款功能强大的解决方案,能够对开源风险进行端到端控制。像 Black Duck 这样的解决方案为整个 SDLC 的开源管理提供了全面的方法。
具体而言,在选择 SCA 解决方案时应考虑以下功能:
• 全面扫描,超越声明范围
• 持续提供物料清单
• 策略、工作流和 SDLC 集成
• 强大的漏洞数据库,超出 NVD 范围
• 许可证合规功能
• 监控和告警
Black Duck 支持最常见的包管理器。Black Duck 的代码片段扫描功能覆盖了最主要和最常用的语言。专业知识库团队会持续监控并添加新语言,确保所有常用语言都得到支持。
此外,Black Duck 独有的签名扫描方法与语言无关。此扫描方法根据文件和目录布局以及独立于语言的其他元数据搜索签名。
是。某些解决方案可以扫描二进制文件,以获取包管理器信息或获取直接从存储库提取未做任何修改的二进制文件。Black Duck 先进的二进制扫描解决方案可以打开二进制文件,以检测修改后的二进制文件,并提供传统语言和广泛的工件支持。
Black Duck 的开源知识库是业界最全的开源项目、许可证和安全信息数据库,其中的信息均由 Synopsys 网络安全研究中心 (CyRC) 获取和管理。知识库包含 2,650 多个独立的开源许可证(GPL、LGPL、Apache 等),其中包含最常用的开源许可证的完整文本以及每个许可证内嵌的数十种特性和义务。Black Duck 还包括深度版权数据并具备提取嵌入式开源许可证的能力,以实现完全开源合规性。
是。Black Duck 允许基于 Docker(和其他)容器封装和交付应用的团队确认和证明其容器中的任何开源组件均符合使用和安全策略、没有漏洞且已履行许可义务。开源管理包括持续监控影响现有应用和容器的新漏洞。
苏公网安备 32059002002276号
