概述

Black Duck提供了全面的软件组成分析（SCA）解决方案，用于管理由于在应用程序和容器中使用开源和第三方代码而带来的安全性，质量和许可证合规性风险。Black Duck为您提供了无与伦比的第三方代码可视性，使您可以在整个软件供应链和整个应用程序生命周期中对其进行控制。

使用Black Duck管理开源风险

Black Duck软件成分分析将一流的解决方案结合了通用的开源风险管理和深度二进制检查。Black Duck为开发，运营，采购和安全团队提供了所需的工具，以最大程度地降低开源软件和其他第三方软件的安全性，合规性和代码质量风险，同时仍能实现其带来的好处。

发现

 在代码，二进制文件和容器中标识开源

 检测部分和修改后的组件

 通过DevOps集成自动扫描

保护

 将组件映射到已知漏洞

 识别许可证和组件质量风险

 监视开发和生产中的新漏洞

管理

设置并实施开源使用和安全策略

通过DevOps集成自动执行策略

确定和跟踪补救活动的优先级

黑鸭技术

不是全部 开源安全解决方案的创建是平等的。黑鸭以行业领先的技术为基础，可确保您在软件中获得最完整，最准确的开源风险视图。

多因素开源检测

超越依赖扫描的多因素发现

检测未声明，已修改甚至部分开源的组件

全面的开源发现，无论是否可以访问源代码

增强的漏洞数据

 包含我们独立研究的黑鸭安全公告（BDSA）

 丰富的漏洞数据，比NVD更快，更周，更快速

 根据关键业务需求自动确定修复工作的优先级 

端到端DevOps集成

 在应用程序生命周期的每个阶段管理开源风险

 一次定义开源使用政策，并自动发出警报并执行

 直接在IDE中进行编码时访问BDSA漏洞 

综合知识库

 Black Duck KnowledgeBase是开源信息的权威来源

 从超过20,000个全球站点和伪造站点连续进行自动数据收集

 由Black Duck的专家团队策划和验证

我们是2019 Forrester Wave中软件组成分析的领导者

在开发过程中管理开源

 借助Black Duck软件的成分分析，您可以在应用程序的源代码中识别和跟踪开源组件，并监视可能使其面临风险的新漏洞和现有漏洞。

使用多因素开源检测来清点正在使用的开源。

 标识声明的组件，唯一的哈希签名以及在构建过程中解决的依赖关系。跟踪应用程序中包含的所有第三方组件，许可证和版本。

映射物料清单（BOM）。

 将您的BOM映射到最大的开源项目，漏洞和许可证数据的KnowledgeBase™。根据相关的风险指标和可行的补救指南做出明智的决定。

在编码时管理风险。

随着 Code Sight  IDE插件，开发人员在编写代码时具有查找和修复问题所需的信息。访问详细的漏洞描述，修复指南，许可证信息以及潜在的违反策略的行为，因此您可以在不中断工作或离开IDE的情况下解决问题。

深入了解漏洞。

从网络安全研究中心（CyRC）访问详细的专有安全风险见解  。在将新漏洞发布到NVD之前的三周内，您会收到有关新漏洞的通知，从而减少了暴露的机会。

随着威胁的发展，维护安全性。

 自动接收有关BOM表中组件和依赖项中新发现的漏洞的警报。

在采购过程中管理开源

借助Black Duck Binary Analysis，您可以快速轻松地分析系统和软件，以识别软件供应链中的薄弱环节，而这些工作都无需源代码。

数分钟内即可扫描几乎所有软件或固件。

 这包括台式机和移动应用程序，嵌入式系统固件，虚拟设备等。

无需源代码即可进行分析。

只需上传您要评估的软件，Black Duck即可在数分钟内进行全面的二进制分析。

获取全面  的物料清单  （BoM）。

 识别并分类所有第三方软件组件和许可证。

做出有关软件使用情况的明智决定。  

 降低安全风险和许可证违规的威胁。识别已知的开源漏洞，许可义务，敏感数据泄漏的来源以及应用程序许可要求。    

 随着威胁的发展，维护安全性。

 自动接收有关先前扫描的软件中新发现的漏洞的警报。

管理并购过程中的软件风险

 借助Black Duck Audits，您可以全面了解所获取代码库中的许可证，质量和安全风险。 

清点和分析开源并制定修复计划。

 在代码中获取开源组件的全面材料清单（BOM），其许可义务以及相关的安全漏洞。获取有关修复的建议，以纳入您的尽职调查计划。

 评估应用程序安全漏洞。

 从应用程序内部和外部对应用程序进行测试，以发现潜在的可利用问题。了解潜在的安全漏洞风险，并在数据，IP或财务损失发生之前制定补救计划。

 确定高级设计和代码质量问题。

 将定量和定性分析配对以了解代码设计和过程质量。设计和工艺缺陷可能会为集成工作增加时间和金钱。

掌控开源，消除风险并加速补救 

 Black Duck使用全面的工具包为您的应用程序开发，部署和采购计划提供支持，以识别和补救开源安全性，许可证和操作风险。使用具有 洞察力的漏洞修复和风险缓解指南，完整的开源许可证合规性数据，Black Duck独家安全公告以及有效的策略控制来主动消除风险。