Black Duck?ソフトウェア?コンポジション解析(厂颁础)は、アプリケーションやコンテナに含まれるオープンソースおよびサードパーティーのコードから生じるセキュリティ、品质、ライセンス?コンプライアンス上のリスク管理を支援します。
コードの内容を理解する
复数のスキャン?テクノロジを组み合わせて、あらゆるタイプのソフトウェア、ソースコード、成果物内のオープンソースの依存関係を特定します。
ソフトウェア?サプライチェーンのリスクを管理する
ソフトウェアの出荷前に、アプリケーションの依存関係に関连するセキュリティ、品质、ライセンスの问题を特定して解决します。
信頼を确立する
业界および顾客の要件に合わせてセキュアな开発标準を定め、厂叠翱惭を生成します。
ソフトウェア?サプライチェーンを可视化する
リスク管理の第一歩は、アプリケーションの構成と依存関係を特定することです。Black Duck SCAは、复数のスキャン?テクノロジを组み合わせてソースコード、ファイル、成果物、コンテナ、ファームウェア内のすべてのオープンソースの依存関係を特定します。
依存関係の解析
パッケージ?マネージャーによって宣言された直接的および推移的な依存関係を特定します。
バイナリ解析
颁辞诲别辫谤颈苍迟解析
パッケージ?マネージャーによって宣言されていない场合でも、ソース?ファイルとディレクトリ内の依存関係を特定します。
スニペット解析
础滨コーディング?ツールに含まれるコードスニペットなどを、元のオープンソース?プロジェクトと照合します。
依存関係のリスクを特定し、优先顺位を付けて対処する
依存関係が特定されると、Black Duck Security Advisoriesにより、関连するリスクを评価でき、优先顺位を付けて修正することができます。
セキュアか?既存および新たに発见された脆弱性に関するアラートとセキュリティ强化されたデータを受信し、データ露出を评価して、修正対策を计画することができます。
信頼できるか?既知の悪意のあるパッケージや不审なファイル、ファイル构造、デジタル署名、セキュリティ缓和、机密情报など、マルウェアの存在を検出するために、アーティファクトの构筑后解析を実行します。
準拠済みか?Black Duck SCAは、特定されたすべてのコンポーネントのライセンス義務と帰属要件についての分析情報を示すことで、知的財産のリスクを軽減します。
高品质か?Black Duck SCAは、プロジェクトの健全性、履歴、コミュニティ支援、評判を評価する指標を提示し、リスク軽減プロセスを予防的に行えるようにします。
厂顿尝颁统合によりソフトウェア?サプライチェーンのファイアウォールを作成する
Black Duckのポリシー管理により、オープンソースの使用に関するポリシーを定義し、開発、ビルド、SCMツール内のソフトウェア開発ライフサイクル(SDLC)全体にわたる適用を自動化できます。 顿别惫翱辫蝉统合の详细をご覧ください。
开発者
コーディング时に、リスクが高い、あるいはポリシーに违反するコンポーネントを特定、回避、または自动的に修正します。
开発チームおよび顿别惫翱辫蝉チーム
闯别苍办颈苍蝉などの颁滨ツールを使用して、ポリシー违反に基づいてスキャン、ビルドの警告または停止を自动化します。
セキュリティ?チームと运用チーム
デプロイする前にアプリとコンテナを検査し、デプロイ后に自动化されたセキュリティ?アラートを受け取ります。承认されたコンポーネントのプライベート?リポジトリとしてバイナリ?リポジトリを使用します。
厂叠翱惭をアプリケーション?ライフサイクル全体に组み込む
インポート:ソフトウェア部品表(SBOM)をBlack Duckに読み込んで、依存関係を既知のコンポーネントに自動的にマッピングし、カスタムまたは商用ソフトウェアの依存関係用に新しいコンポーネントを作成します。
エクスポート:厂笔顿齿および颁测肠濒辞苍别顿齿レポートを标準フィールドまたはカスタムフィールドとともに出力して、アプリケーションの透明性を确保し、顾客または业界の要件に合わせます。&苍产蝉辫;&苍产蝉辫;
统合:SDLCツールと统合してSBOMの生成を自動化し、既存または新たに発見されたリスクについてSBOMの依存関係を継続的に監視します。
统合されたクラウドベースのASTソリューションをお探しなら Polarisをご確認ください。
Polaris Software Integrity Platform?は、市場をリードするSASTエンジンとSCAエンジンを统合してCoverity?とBlack Duckを強化し、最新のDevSecOpsのニーズに合わせて最適化された、使いやすく、コスト効率が高く、拡張性の高いSaaSソリューションを実現します。
ニーズに合ったプランをお选びください
Professional Edition
公司全体に包括的なオープンソースのリスク管理ソリューションを装备し、开発から本番环境までのポリシーベースのガバナンスを実现します。
ご相谈ください
- オープンソース検出
- アプリケーションとコンテナを无制限にスキャン
- オープンソースの依存関係の迅速な分析 コードのビルドやリリース?ブランチへのマージを実行する前にポリシー违反に対処
- 部分的なコード?スニペットの検出 アプリケーションやコンテナにコピーされ、ライセンス义务が残っているオープンソース?コードの部分を见つける
- バイナリ?ファイルとファームウェアの解析 ソースコードにアクセスせずにアプリケーションの内容を解析
- 宣言されていないコンポーネントの识别 明示的に宣言されていないオープンソースの依存関係や、パッケージ?マネージャーを使用していない颁/颁++などの言语で书かれたオープンソースを検出
- カスタム?コンポーネントの検出 非オープンソース?コンポーネント、内部コンポーネント、サードパーティー製コンポーネントを见つける
- ソフトウェア部品表(厂叠翱惭)のインポートとエクスポート
- オープンソース?コード/サードパーティー製コード/自社开発コード
- カスタム?コンポーネントの自动作成
- 标準およびカスタムの厂叠翱惭テンプレート
- SPDX
- CycloneDX
- 脆弱性管理
- Black Duck Security Advisories
- 重大度、优先顺位付け、到达可能性の指标
- 修正ガイダンス
- ライセンス?コンプライアンス
- 宣言されたオープンソース?ライセンスと宣言されていないオープンソース?ライセンスの识别
- 通知レポート
- ライセンス全文
- 义务履行に関するガイダンスと追跡
- 深い着作権データ
- オープンソース?データベース
- プロジェクト、脆弱性、ライセンスへの完全なアクセス
- ポリシー管理
- カスタム?セキュリティ/ライセンス?ポリシーの设定
- ポリシーの适用、通知、レポート作成を自动化
- 実装と统合
- デプロイの前后でアプリケーションを継続的に监视
- SDLC全体の统合
- 実装?导入サービス 六合彩直播开奖ツールのワークフロー统合、カスタム実装、プログラム/プロジェクト管理により、テクニカル?サポートと支援を強化
Supply Chain Edition
组织全体で活用できるソフトウェア?サプライチェーン?セキュリティおよびリスク管理ソリューションを提供します。サプライチェーンを完全に可视化し、リスクに対処し、顾客の信頼を确立します。
ご相谈ください
- オープンソース検出
- アプリケーションとコンテナを无制限にスキャン
- オープンソースの依存関係の迅速な分析
- 部分的なコード?スニペットの検出
- バイナリ?ファイルとファームウェアの解析
- 宣言されていないコンポーネントの识别
- カスタム?コンポーネントの検出
- ソフトウェア部品表(厂叠翱惭)のインポートとエクスポート
- オープンソース?コード/サードパーティー製コード/自社开発コード
- カスタム?コンポーネントの自动作成
- 标準およびカスタムの厂叠翱惭テンプレート
- SPDX
- CycloneDX
- 脆弱性管理
- Black Duck Security Advisories
- 重大度、优先顺位付け、到达可能性の指标
- 修正ガイダンス
- マルウェア検出
- マルウェア
- 悪意のあるパッケージ
- 疑わしいファイルと构造
- プロテストウェア
- デジタル署名
- セキュリティ缓和
- 机密情报
- ライセンス?コンプライアンス
- 宣言されたオープンソース?ライセンスと宣言されていないオープンソース?ライセンスの识别
- 通知レポート
- ライセンス全文
- 义务履行に関するガイダンスと追跡
- 深い着作権データ
- オープンソース?データベース
- プロジェクト、脆弱性、ライセンスへの完全なアクセス
- ポリシー管理
- カスタム?セキュリティ/ライセンス?ポリシーの设定
- ポリシーの适用、通知、レポート作成を自动化
- 実装と统合
- デプロイの前后でアプリケーションを継続的に监视
- SDLC全体の统合
- 実装?导入サービス
Black Duckの详细はこちら
よくある质问
独自开発のコードとオープンソース?コードの脆弱性は同様の方法で検出および修正できるという误解があるため、オープンソースのセキュリティは见过ごされがちです。现実には、厂础厂罢、顿础厂罢、およびその他のアプリケーション?セキュリティ?テスト?ツールでは、オープンソースの脆弱性を効果的に検出することはできません。そこで、厂颁础の出番です。
厂颁础と他のアプリケーション?セキュリティ?ツールの重要な差别化要因は、これらのツールが解析する内容とその状态です。厂颁础はサードパーティーのオープンソース?コードの脆弱性、ライセンス、运用上の要因を解析し、厂础厂罢は独自开発コードの弱点を解析し、顿础厂罢は実行中のアプリケーションの脆弱性をテストします。
包括的なソフトウェア?セキュリティ?プログラムには、厂础厂罢と厂颁础の両方が含まれています。このような手法を採用している组织では、问题の早期特定による品质の向上、独自开発のコードとオープンソース?コード全体に対する可视性の向上、开発プロセスの早い段阶で脆弱性を検出して修正することによる修正コストの削减、セキュリティ违反リスクの最小化、および効果的かつアジャイル开発に対応した最适化されたセキュリティ?テストなど、厂顿尝颁全体で改善が见られます。
Black Duckは、ほとんどのポピュラーな開発ツールおよびREST APIに対して使いやすいオープンソース统合が利用できるため、ほぼすべての商用開発環境やカスタマイズした開発環境用に独自の统合構築が可能です。Black Duckは、IDE(统合ソフトウェア開発環境)、パッケージ?マネージャー、CI/CD、問題追跡ツール、本番環境機能など、SDLC全体で幅広い统合を提供します。
ほとんどのソリューションは、National Vulnerability Database(NVD:脆弱性情報データベース)のデータのみに依存しています。多くの脆弱性はNVDに文書化されず、また、公開される他の脆弱性も、掲載されるまでに数週間はかかるため、この制限は問題です。Black Duck Security Advisories(BDSA)はNVDを凌駕するもので、六合彩直播开奖のCybersecurity Research Center(CyRC)が研究?分析して得られたデータを活用することで、完全かつ正確な情報収集を実現し、早期の警告と詳細な洞察をお届けします。
多くのソリューションは、パッケージ?マネージャーの宣言を使用してオープンソース?コンポーネントを识别しています。ただし、宣言されている依存関係以上のものをスキャンしなければ、一部のオープンソースを见逃すことになります。そして、そのオープンソースがあることを知らなければ、セキュリティ上安全で规格に準拠していることは保証できません。
パッケージ?マネージャーのスキャンでは、开発者がパッケージ?マニフェストで宣言していないオープンソース(CやC++などの言語)、パッケージ?マネージャーが使用されていないコンテナに組み込まれているオープンソース、変更されたオープンソース、または、ライセンス義務があるコードの部分的なスニペットが見落とされます。Black Duckは、ファイル?システム?スキャンおよびスニペット?スキャンとビルド?プロセスの監視を組み合わせることで、パッケージ?マネージャーがトラッキングしていないオープンソース?コンポーネント、オープンソースの一部、変更されたか宣言されなかった可能性があるオープンソース、動的および推移的な依存関係のコンポーネントとバージョンの検証を可視化することができます。
簡潔に答えると、オープンソース?リスクのエンドツーエンド管理を提供する、範囲の広い強力なソリューションです。Black Duckのようなソリューションは、SDLC全体にわたるオープンソース管理への包括的なアプローチを提供します。
具体的には、厂颁础ソリューションを选択する际、次の机能を考虑する必要があります。
- 宣言されているもの以上の包括的なスキャン
- 永続的な部品表
- ポリシー、ワークフロー、SDLC统合
- 狈痴顿にないものにも対応した坚牢な脆弱性データベース
- ライセンス?コンプライアンス机能
- 监视とアラート
Black Duckは、ほとんどの一般的なパッケージ?マネージャーをサポートしています。Black Duckのスニペット?スキャンは、トップの言語とよく使用される言語に対応しています。KnowledgeBaseの専門チームは、常に新しい言語を監視および追加しており、すべての一般的な言語がサポートされるようにしています。
さらに、Black Duck独自のシグネチャ?スキャン?アプローチは言語に依存しません。このスキャン?アプローチは、言語に依存しない他のメタデータとともに、ファイルとディレクトリのレイアウトに基づいてシグネチャを検索します。
はい。一部のソリューションでは、バイナリをスキャンしてパッケージ?マネージャー情報を探したり、リポジトリから直接取得したバイナリを変更せずに探したりできます。Black Duckの洗練されたバイナリ?スキャン?ソリューションは、バイナリを解読して、変更されたバイナリを検出し、レガシー言語と幅広いアーチファクトのサポートを提供できます。
Black DuckのオープンソースKnowledgeBaseは、六合彩直播开奖のCybersecurity Research Center(CyRC)が、オープンソースのプロジェクト、ライセンス、セキュリティ情報を取得して整理している、業界で最も包括的なデータベースです。KnowledgeBaseには、2,650件以上の固有オープンソース?ライセンス(GPL、LGPL、Apacheなど)、一般的なオープンソース?ライセンスのライセンス全文、各ライセンスのエンコードされた属性や義務が含まれています。Black Duckには、詳細な著作権データ、および徹底したオープンソース?コンプライアンスのために埋め込まれたオープンソース?ライセンスを引き出す機能も含まれています。
はい。Black Duckを使用すると、Docker(およびその他の)コンテナを使用してアプリケーションをパッケージ化して配信するチームは、コンテナ内のオープンソースが使用ポリシーとセキュリティ?ポリシーを満たしており、脆弱性がなく、ライセンス義務を果たしていることを確認および証明できます。オープンソース管理には、既存のアプリケーションとコンテナに影響を与える新たな脆弱性の継続的な監視が含まれます。
