内容库

网络安全研究中心

博客

黑鸭子® 软件组合分析(SCA)帮助团队管理安全性, 质量, 以及在应用程序和容器中使用开源和第三方代码所带来的许可证遵从风险.

全球有4000多个组织信任新濠天地


在开源漏洞管理Solutions中,黑鸭子比任何其他供应商都更符合Entersekt的清单."

菲利普·博塔

|

质量保证经理,Entersekt

看看黑鸭子是怎么工作的


知道你的代码里有什么

黑鸭子的 多因素开源检测知识库™超过400万个组件,为您提供任何应用程序或容器的准确的物料清单(BoM).

依赖关系分析
黑鸭子 (SCA)依赖分析

与Maven和Gradle等构建工具集成,以跟踪用Java和c#等语言构建的应用程序中声明的和可传递的开源依赖.

Codeprint分析
黑鸭子(SCA)代码打印分析|概要

地图的字符串, 文件, 和目录信息到黑鸭知识库,以识别使用C和c++等语言构建的应用程序中的开源和第三方组件.

片段分析
黑鸭子(SCA)代码片段分析|概要

查找在专有代码中复制的开放源代码的部分, 哪些可能会使您面临许可证违规和冲突.

快速查找并修复最高优先级的漏洞

黑鸭安全通告 帮助您避免被开源漏洞措手不及, 无论是开发还是生产. 它们提供了必要的关键数据来对漏洞进行优先级排序,以便进行补救, 例如利用信息, 修复的指导, 严重程度评分, 以及调用路径分析. 了解有关黑鸭漏洞数据库的更多信息.

黑鸭(SCA)路径分析

及时的. 数以千计的安全馈送被监视和增强,以提供大多数漏洞的当天通知才会出现在国家漏洞数据库.

准确的. 新濠天地网站的安全专家团队审查和验证漏洞数据,以确保准确的报告漏洞描述, 严重程度, 利用风险, 和影响的版本.

可操作的. 新濠天地网站的团队详细介绍的缓解和补救指导有助于对漏洞进行优先排序, 选择最优补丁或升级路径, 并找出攻击或妥协的证据.

自动化. 基于关键漏洞数据,对漏洞进行了优先级修复, 如严重程度, 可用的Solutions, 可利用性, CWE, 以及调用路径分析.

将开源治理集成到DevSecOps中并实现自动化

黑鸭子自动策略管理允许您定义用于开源使用的策略, 安全风险, 和许可证合规, 以及跨软件开发生命周期的自动化实施(SDLC)与你的开发人员已经使用的工具.  了解更多关于新濠天地网站的DevOps集成.

开发人员
开发人员可以通过SDLC | 新濠天地实现自动化执行

识别, 避免, 或者自动纠正风险较高或违反策略的组件, 当你的代码.

开发和DevOps团队
发展 & DevOps团队通过SDLC | 新濠天地实现自动化执行

使用像Jenkins这样的CI工具,根据违反策略自动扫描、发出警报或停止构建.

安全和运营团队
为了安全 & 操作团队通过SDLC | 新濠天地实现自动化执行

在应用程序和容器部署前检查它们,并在部署后获得自动安全警报.

保持与开源许可证的一致性

你的软件是通过网络交付的还是嵌入在硬件设备中, 遵守开源许可证是至关重要的. 通过更深入地了解许可义务和归属要求,降低知识产权的成本和风险. 了解有关开放源码许可证遵从性的更多信息.  

识别

黑鸭子将已识别的组件映射到超过2个中的一个,在新濠天地网站的知识库中跟踪了700个许可证, 并标记具有未知许可证的组件,以便对它们进行审查.  

理解

义务摘要以简单和标准的术语解释许可证需求,以便开发和法律团队能够快速评估在其应用程序中包含组件的影响.

遵守

黑鸭子自动标记潜在的许可证冲突,以便团队遵守政策执行, 并帮助他们准确地为客户报告许可证条款.

选择适合您需要的计划

了解更多关于如何使用开源进行创新,同时保持安全性和对黑鸭子的遵从性的信息

常见问题


软件组合分析(SCA)与其他应用程序安全工具有何不同?

开源安全性经常被忽视,因为人们错误地认为私有代码和开源代码中的漏洞可以用类似的方法检测和修复. 现实是SAST, DAST, 而其他应用程序安全性测试工具无法有效地检测开源漏洞. 进入SCA.

SCA与其他应用程序安全工具之间的关键区别在于这些工具所分析的内容, 在什么状态下. SCA分析第三方开源代码的漏洞, 许可证, 和操作因素, 而SAST则分析专有代码中的弱点, 和DAST测试正在运行的应用程序的易受攻击行为.

你需要SAST和软件成分分析吗?

一个全面的软件安全程序包含SAST和SCA. 采用这种方法的组织可以在整个SDLC中看到改进, 包括通过早期识别问题来提高质量, 更好的专有和开放源代码的可见性, 通过在开发过程的早期检测和修复漏洞,降低修复成本, 安全漏洞的风险降至最低, 以及优化的安全测试,它既有效又与敏捷开发兼容.

黑鸭子支持哪些集成?

黑鸭子为最流行的开发工具和REST api提供了易于使用的开源集成, 允许您为几乎任何商业或自定义开发环境构建自己的集成. 黑鸭子在SDLC上提供了广泛的集成, 包括ide, 软件包管理器, CI / CD, 问题跟踪器, 和生产能力.

黑鸭支持集成

黑鸭的漏洞信息从何而来?

大多数Solutions仅依赖于国家漏洞数据库(NVD)的数据。. 这个限制带来了一个问题, 因为NVD中没有记录许多漏洞, 还有一些公司在上市几周后才上市. 黑鸭安全警告(BDSAs)超越了NVD, 通过新濠天地网络安全研究中心(CyRC)研究和分析增强数据,以确保数据的完整性和准确性, 提供早期预警和全面洞察.

黑鸭漏洞报告

为什么我要关心扫描声明的依赖关系以外的其他依赖关系?

大多数Solutions使用包管理器声明来标识开源组件. 但是,如果不能扫描声明的依赖项以外的其他依赖项,那么您将会错过一些开放源码. 如果你不知道它在那里,你就不能确保它是安全的和兼容的.

包管理器扫描将忽略开发人员没有在包清单中声明的开源, 语言,如C和c++, 内置在容器中的开放源码,不使用包管理器, 已修改的开放源码, 或者仍然带有许可义务的部分代码片段. 通过将文件系统扫描和代码片段扫描与构建过程监视相结合, 黑鸭子提供了对包管理器未跟踪的开源组件的可见性, 部分开源, 还有可能被修改或未声明的开源, 以及动态和传递依赖的组件和版本验证.

我应该在软件组合分析Solutions中寻找什么?

简短的回答是一个广泛而强大的Solutions,它提供了对开源风险的端到端控制. 像黑鸭子这样的Solutions在整个SDLC中提供了一种全面的开源管理方法.

更具体地说,在选择SCASolutions时应该考虑以下功能:

  • 全面扫描,超越声明
  • 持续物料清单
  • 策略、工作流和SDLC集成
  • 强大的漏洞数据库,超越NVD
  • 许可证合规功能
  • 监测和报警
黑鸭子支持哪些语言和平台?

黑鸭子支持最常见的包管理器. 黑鸭子的代码片段扫描涵盖了最常用的语言. 知识库专家团队一直在监视和添加新的语言, 确保支持所有公共语言.

此外,黑鸭子专有的签名扫描方法是语言无关的. 这种扫描方法基于文件和目录布局以及其他独立于语言的元数据搜索签名.

有关支持的语言和平台的最新列表,请与新濠天地网站联系.

除了源代码之外,SCA还支持二进制代码吗?

是的. 有些Solutions可以扫描二进制文件以查找包管理器信息,或者直接从存储库中提取的二进制文件,而无需任何修改. 黑鸭子复杂的二进制扫描Solutions可以破解二进制文件,以检测修改过的二进制文件,并提供遗留语言和广泛的工件支持.

黑鸭二元分析

黑鸭在知识库中的授权数据有多全面?

黑鸭的开源知识库是业界最全面的开源数据库项目, 许可证, 和安全信息, 由新濠天地网络安全研究中心(CyRC)提供. 知识库包含超过2,650个唯一的开源许可证(GPL、LGPL、Apache等).), 最流行的开放源码许可的完整许可文本以及每个许可的几十个编码属性和义务. 黑鸭子还包括深入的版权数据,以及为完全遵从开源法规而提取嵌入式开源许可证的能力.

黑鸭会扫描容器吗?

是的. 黑鸭子允许使用Docker(和其他)容器打包和交付应用程序的团队确认和验证容器中的任何开源满足使用和安全策略, 没有漏洞, 并履行许可义务. 开源管理包括对影响现有应用程序和容器的新漏洞进行持续监控.