◎ 开展更深入、更简单的分析 Black Duck 使用独特的多因素检测技术来生成完整的 BOM,并加以验证,以跟踪声明的组件、独特的文件哈希签 名、构建过程中解析的依赖关系和开源代码片段,从而更加精准地识别出更多的开源代码。Black Duck 的智能扫 描客户端与整个 SDLC 中使用的开发工具相集成,能够自动检测资源以优化其扫描方法。 ◎ 快速找到并修复漏洞 Black Duck 的开源安全风险理念源自从公开渠道(如美国国家通用漏洞数据库,NVD)精心挑选的数据以及 Synopsys 网络安全研究中心(CyRC)开展的详细的专有分析。用户可在新漏洞发布到 NVD 之前的 30 天内得到 通知(以缩短漏洞泄露时间窗口)并受益于我们专有的增强型漏洞数据和 Black Duck 安全建议(BDSA),其中 包括: ※ 严重风险指标,特定于漏洞的技术理念,漏洞利用细节和影响分析 ※ CVSS 2 和 CVSS 3 评分以及 CWE 分类数据 ※ 常见攻击模式枚举和分类(CAPEC) ※ 非 NVD 提供的临时评分 ※ 组件级升级和修复指导,缓解因素和补偿性控制 ※ 根据用户整体风险状况自定义漏洞风险评分 ◎ 自动执行安全和使用策略 用户可基于全面的标准来配置开源安全和使用策略,包括许可证类型、漏洞严重程度及开源组件版本等。也可通 过自动工作流触发器、通知以及与Jira双向集成来执行策略,以加速启动修复措施和报告流程。 ◎ 识别开源风险,即使没有源代码亦可 将 Black Duck 置于用户工具包中,就可以快速轻松地分析供应商提供的二进制文件,识别出软件供应链中的薄弱 环节,无需访问源代码。也可借助深入可行的风险指标做出明智的技术使用和采购决策,以免因决策不当而遭遇 风险。Black Duck 的智能扫描客户端能够自动确定目标软件是源代码软件还是编译好的二进制文件,最后识别出 所有的第三方软件组件、相关许可、以及影响应用程序的已知漏洞,并加以分类。 |
