Black Duck的探测技术帮助您生成基于编译构建的应用程序和容器使用到的开源、第三方和专有软件组件的完整SBOM。支持导出符合NTIA规范的SBOM的格式,如SPDX和CycloneDX,构建可信的应用程序并且追溯组件相关的安全、许可和运维风险。
Black Duck Security Advisory 可帮助您避免在开发和生产中遭到开源漏洞攻击。它们提供了确定修复漏洞优先级所需的关键数据,例如利用信息、补救指南、严重性评分和调用路径等数据。了解有关 Black Duck 漏洞数据库的更多信息。
及时。 监控并增强了数千个安全源 ,以便当天就通告大多数漏洞——在纳入国家漏洞数据库之前,提早数周发出预警。
准确。 我们的安全专家团队审查并验证漏洞数据,以确保准确报告漏洞描述、严重性、漏洞风险和受影响的版本。
可操作。 我们团队详述的修复和补救指南有助于确定漏洞的优先级,选择理想补丁或升级路径,并识别攻击或损害的证据。
自动化。 根据关键漏洞数据(如严重性、可用解决方案、可利用性、CWE 和呼叫路径分析),确定漏洞的优先级以进行修复。
Black Duck 自动化策略管理允许您预先定义开源使用、安全风险和许可证合规策略,并使用开发人员已经使用的工具在软件开发生命周期 (SDLC) 内自动执行。
无论您的软件是通过 Web 交付还是嵌入硬件设备,都要务必确保开源许可证合规。通过更深入地了解许可义务和归属要求,降低知识产权的成本和风险。
识别
Black Duck示意图参照我们知识库中跟踪的2,700 多个许可证 ,确定已识别的组件具有哪一种许可,并标记具有未知许可证的组件,以便对其进行审核。
了解
义务摘要以简明标准的术语解释许可证要求,以便开发和法律团队可以快速评估将组件纳入其应用的影响。
遵守
Black Duck会自动标记潜在的许可证冲突,帮助团队遵守策略执行,通知文件生成有助于他们准确报告客户的许可证条款。