Black Duck® 軟體組成分析(SCA)幫助開發團隊管理使用開源軟體和第三方程式代碼所產生的安全和授權風險,是全球最佳開源軟體安全管理解決方案之一。
Black Duck® 具備獨有的多因子開源軟體識別技術,其中包含超過 450 萬個元件的知識庫,讓企業能全面了解組織內所擁有的軟體及各容器組成的內容,且在應用生命週期中,自動化進行開源安全與授權風險管理。Black Duck® 專業的安全掃描技術能針對特定軟體或容器所使用到的開源軟體、第三方軟體,來產生相對應的精確的軟體物料清單(SBOM),並支援 NTIA 規範的 SBOM 格式,如:SPDX 和 CycloneDX,幫助企業建構可信的軟體物料清單,並追蹤其相關元件的安全與授權合規風險。
優勢及功能
Black Duck® 將開源軟體管理整合至 DevSecOps 中,從三大面向實現企業自動化:
- 開發人員:識別、避免或自動修復您編碼時風險較高或違反策略的組件。
- 開發和 DevOps 團隊:使用 Jenkins 等 CI 工具,根據違反策略的情況自動執行掃描、警報或停止構建工作。
- 安全與營運團隊:在部署應用或執行容器化之前,對其進行檢查,並在部署完成後自動發送的安全警報。
Black Duck® 具備四大產品特點:
- 依賴分析:內建 Maven 和 Gradle 等建構工具,追蹤以 Java 和 C# 等語言建構的應用中,所有已公開與過渡性的開源依賴關係。
- 碼紋分析:將字元串、文件和目錄資訊映射到 Black Duck® 知識庫,以便後續能在使用 C+ 和 C++ 等語言所建構的應用中,清楚地識別開源與第三方組件。
- 二進制分析:識別已編譯的應用庫和可執行文件中的開源。無須源代碼或建構系統訪問權限。
- 代碼片段分析:可針對專有代碼中複製的開源代碼部分進行查找,並評估此複製動作是否面臨憑證違規或其他衝突問題。
Black Duck® 具備最全面的語言與開發工具整合資源,能有效率地管理開源軟體使用時所衍生的相關資安與授權問題。
- 安全與漏洞:即時警示通知,快速修補開源軟體的資安漏洞
- 授權與合規:避免人員誤用開源軟體,因而產生其他法律風險
- 業務聯絡窗口
精誠集團
林苑琳
02-7720-1888 ext. 5288
Email:vickylin@systex.com