黑鸭子® 软件组合分析(SCA)帮助团队管理安全性, 质量, 以及在应用程序和容器中使用开源和第三方代码所带来的许可证遵从风险.
全球有4000多个组织信任新濠天地
在开源漏洞管理Solutions中,黑鸭子比任何其他供应商都更符合Entersekt的清单."
菲利普·博塔
|质量保证经理,Entersekt
看看黑鸭子是怎么工作的
依赖关系分析
与Maven和Gradle等构建工具集成,以跟踪用Java和c#等语言构建的应用程序中声明的和可传递的开源依赖.
Codeprint分析
地图的字符串, 文件, 和目录信息到黑鸭知识库,以识别使用C和c++等语言构建的应用程序中的开源和第三方组件.
二元分析
片段分析
查找在专有代码中复制的开放源代码的部分, 哪些可能会使您面临许可证违规和冲突.
快速查找并修复最高优先级的漏洞
黑鸭安全通告 帮助您避免被开源漏洞措手不及, 无论是开发还是生产. 它们提供了必要的关键数据来对漏洞进行优先级排序,以便进行补救, 例如利用信息, 修复的指导, 严重程度评分, 以及调用路径分析. 了解有关黑鸭漏洞数据库的更多信息.
将开源治理集成到DevSecOps中并实现自动化
黑鸭子自动策略管理允许您定义用于开源使用的策略, 安全风险, 和许可证合规, 以及跨软件开发生命周期的自动化实施(SDLC)与你的开发人员已经使用的工具. 了解更多关于新濠天地网站的DevOps集成.
开发人员
识别, 避免, 或者自动纠正风险较高或违反策略的组件, 当你的代码.
开发和DevOps团队
使用像Jenkins这样的CI工具,根据违反策略自动扫描、发出警报或停止构建.
安全和运营团队
在应用程序和容器部署前检查它们,并在部署后获得自动安全警报.
保持与开源许可证的一致性
你的软件是通过网络交付的还是嵌入在硬件设备中, 遵守开源许可证是至关重要的. 通过更深入地了解许可义务和归属要求,降低知识产权的成本和风险. 了解有关开放源码许可证遵从性的更多信息.
识别
黑鸭子将已识别的组件映射到超过2个中的一个,在新濠天地网站的知识库中跟踪了700个许可证, 并标记具有未知许可证的组件,以便对它们进行审查.
理解
义务摘要以简单和标准的术语解释许可证需求,以便开发和法律团队能够快速评估在其应用程序中包含组件的影响.
遵守
黑鸭子自动标记潜在的许可证冲突,以便团队遵守政策执行, 并帮助他们准确地为客户报告许可证条款.
选择适合您需要的计划
安全期
使开发人员和DevOps团队能够在不减缓创新的情况下解决开源政策问题.
从
$500
每个团队成员
团队成员(20 - 150)
- 开源检测
- 无限的应用程序和容器扫描
- 快速的开源依赖关系分析 在构建或合并代码到发布分支之前,解决策略违规问题
- 脆弱性管理
- 黑鸭安全通告
- 严重性、优先级和可达性度量
- 修复的指导
- 许可遵从性
- 开放源码许可证标识
- 通知报告
- 开源数据库
- 对项目、漏洞和许可证的完全访问
- 策略管理
- 自定义安全性和许可证策略配置
- 实现和集成
- 在部署之前和之后持续监控应用程序
- 跨整个SDLC的集成
- 实现和采用服务 为工作流集成添加增强的技术支持和帮助, 自定义实现, 和新濠天地工具的程序/项目管理
专业版
为整个企业配备一个全面的开源风险管理Solutions, 提供从开发到生产的基于策略的治理.
大家一起说
- 开源检测
- 无限的应用程序和容器扫描
- 快速的开源依赖关系分析 在构建或合并代码到发布分支之前,解决策略违规问题
- 检测部分代码片段 查找已复制到应用程序和容器中的开放源代码的部分, 这仍然带有许可义务
- 二进制文件和固件分析 在不访问源代码的情况下分析应用程序的内容
- 未申报的组件识别 查找未显式声明的开源依赖项, 在不使用包管理器的语言中, 像C / c++
- 自定义组件检测 查找非开源、内部和第三方组件
- 脆弱性管理
- 黑鸭安全通告
- 严重性、优先级和可达性度量
- 修复的指导
- 许可遵从性
- 已声明和未声明的开源许可证标识
- 通知报告
- 正式执照的文本
- 义务履行指导 & 跟踪
- 深版权数据
- 开源数据库
- 对项目、漏洞和许可证的完全访问
- 策略管理
- 自定义安全性和许可证策略配置
- 自动策略执行、通知和报告
- 实现和集成
- 在部署之前和之后持续监控应用程序
- 跨整个SDLC的集成
- 实现和采用服务 为工作流集成添加增强的技术支持和帮助, 自定义实现, 和新濠天地工具的程序/项目管理
了解更多关于如何使用开源进行创新,同时保持安全性和对黑鸭子的遵从性的信息
常见问题
开源安全性经常被忽视,因为人们错误地认为私有代码和开源代码中的漏洞可以用类似的方法检测和修复. 现实是SAST, DAST, 而其他应用程序安全性测试工具无法有效地检测开源漏洞. 进入SCA.
SCA与其他应用程序安全工具之间的关键区别在于这些工具所分析的内容, 在什么状态下. SCA分析第三方开源代码的漏洞, 许可证, 和操作因素, 而SAST则分析专有代码中的弱点, 和DAST测试正在运行的应用程序的易受攻击行为.
一个全面的软件安全程序包含SAST和SCA. 采用这种方法的组织可以在整个SDLC中看到改进, 包括通过早期识别问题来提高质量, 更好的专有和开放源代码的可见性, 通过在开发过程的早期检测和修复漏洞,降低修复成本, 安全漏洞的风险降至最低, 以及优化的安全测试,它既有效又与敏捷开发兼容.
黑鸭子为最流行的开发工具和REST api提供了易于使用的开源集成, 允许您为几乎任何商业或自定义开发环境构建自己的集成. 黑鸭子在SDLC上提供了广泛的集成, 包括ide, 软件包管理器, CI / CD, 问题跟踪器, 和生产能力.
大多数Solutions使用包管理器声明来标识开源组件. 但是,如果不能扫描声明的依赖项以外的其他依赖项,那么您将会错过一些开放源码. 如果你不知道它在那里,你就不能确保它是安全的和兼容的.
包管理器扫描将忽略开发人员没有在包清单中声明的开源, 语言,如C和c++, 内置在容器中的开放源码,不使用包管理器, 已修改的开放源码, 或者仍然带有许可义务的部分代码片段. 通过将文件系统扫描和代码片段扫描与构建过程监视相结合, 黑鸭子提供了对包管理器未跟踪的开源组件的可见性, 部分开源, 还有可能被修改或未声明的开源, 以及动态和传递依赖的组件和版本验证.
简短的回答是一个广泛而强大的Solutions,它提供了对开源风险的端到端控制. 像黑鸭子这样的Solutions在整个SDLC中提供了一种全面的开源管理方法.
更具体地说,在选择SCASolutions时应该考虑以下功能:
- 全面扫描,超越声明
- 持续物料清单
- 策略、工作流和SDLC集成
- 强大的漏洞数据库,超越NVD
- 许可证合规功能
- 监测和报警
黑鸭子支持最常见的包管理器. 黑鸭子的代码片段扫描涵盖了最常用的语言. 知识库专家团队一直在监视和添加新的语言, 确保支持所有公共语言.
此外,黑鸭子专有的签名扫描方法是语言无关的. 这种扫描方法基于文件和目录布局以及其他独立于语言的元数据搜索签名.
是的. 有些Solutions可以扫描二进制文件以查找包管理器信息,或者直接从存储库中提取的二进制文件,而无需任何修改. 黑鸭子复杂的二进制扫描Solutions可以破解二进制文件,以检测修改过的二进制文件,并提供遗留语言和广泛的工件支持.
黑鸭的开源知识库是业界最全面的开源数据库项目, 许可证, 和安全信息, 由新濠天地网络安全研究中心(CyRC)提供. 知识库包含超过2,650个唯一的开源许可证(GPL、LGPL、Apache等).), 最流行的开放源码许可的完整许可文本以及每个许可的几十个编码属性和义务. 黑鸭子还包括深入的版权数据,以及为完全遵从开源法规而提取嵌入式开源许可证的能力.
是的. 黑鸭子允许使用Docker(和其他)容器打包和交付应用程序的团队确认和验证容器中的任何开源满足使用和安全策略, 没有漏洞, 并履行许可义务. 开源管理包括对影响现有应用程序和容器的新漏洞进行持续监控.
