Pagsusi sa Komposisyon sa Itom nga Duck Software

Mga sulod itago

1 Itom nga Itik

1.1 Pagtuki sa Komposisyon sa Software

1.1.1 Tapos naview

1.1.2 Usa ka hiniusa nga solusyon alang sa gigikanan ug mga binary

1.1.3 Itom nga Itik | Mga panagsama

1.2 Mga pakisayran

2 May Kalabutan nga mga Post

Itom nga Itik

Pagtuki sa Komposisyon sa Software

Luwas ug igdumala ang bukas nga gigikanan sa tibuuk nga kutay sa suplay sa software

Tapos naview

Ang Black Duck usa ka komprehensibo nga solusyon alang sa pagdumala sa seguridad, pagsunod sa lisensya, ug mga peligro sa kalidad sa code nga gikan sa paggamit sa bukas nga gigikanan sa mga aplikasyon ug sulud. Ginganlan nga usa ka nanguna sa pagtuki sa komposisyon sa software (SCA) ni Forrester, ang Black Duck naghatag kanimo dili hitupngan nga makita sa ikatulo nga partido nga kodigo, nga makapaarang kanimo nga makontrol kini sa tibuuk nga kadena sa paghatag og software ug sa bug-os nga siklo sa kinabuhi sa aplikasyon.

Usa ka hiniusa nga solusyon alang sa gigikanan ug mga binary

Ang Black Duck ra ang naghiusa sa daghang gamit nga pagdumala sa peligro nga makuhaan og tinubdan uban ang lawom nga pag-inspeksyon sa binary aron makahatag usa ka labing maayo nga solusyon sa SCA nga makatabang kanimo nga maminusan ang mga peligro nga adunay kalabotan sa bukas nga gigikanan ug uban pang software sa ikatulo nga partido. Sa panahon kanus-a ang bukas nga gigikanan naghimo og 70% sa kasagaran nga codebase, Gihatagan gahum sa Black Duck ang imong development, operasyon, pagpamalit, ug mga security team sa:

Pagpangita ug ayuhon ang mga kahuyang sa seguridad sa matag stage sa SDLC, nga adunay detalyado, kahuyang nga piho nga giya sa pag-ayo ug teknikal nga panan-aw.
Wagtanga ang peligro sa dili pagsunod sa open source lisensya ug panalipdi ang imong intelektuwal nga kabtangan pinaagi sa paggamit sa labing kadaghan nga base sa kahibalo sa open source sa industriya aron mahibal-an kung kinsa sa 2,650 nga mga lisensya ang adunay kalabotan sa bukas nga gigikanan sa imong mga aplikasyon (lakip ang mga snippet sa code gikan sa daghang mga sangkap).

Paglikay nga molapas ang gasto sa pag-uswag ug pagkadunot sa code sa kombat nga adunay sukdanan sa peligro sa operasyon nga may kalabutan sa dili maayo nga kalidad sa open source code.
I-scan hapit ang bisan unsang software, firmware, ug source code aron makahimo usa ka komprehensibo nga kuwenta sa materyales (BOM) kung unsa ang naa sa sulod.

Awtomatiko nga pagmonitor alang sa bag-ong mga kahuyang nga nakaapekto sa imong BOM, nga adunay mga pasadya nga palisiya ug pag-aghat sa workflow aron mapadali ang pag-ayo ug maminusan ang pagkaladlad sa imong peligro.
1

Pagdiskobre

Ilha ablihan ang gigikanan sa code, binaries, ug container.
Detect bahin ug gibag-o nga mga sangkap.
Awtomatiko pag-scan sa mga panagsama sa DevOps.

Panalipdi

Mapa sangkap sa nahibal-an nga kahuyang.
Ilha lisensya ug bahin sa peligro sa kalidad.
Monitor alang sa bag-ong mga kahuyang sa pag-uswag ug paghimo.

Pagdumala

Ibutang ug ipatuman paggamit sa bukas nga gigikanan ug mga patakaran sa siguridad.
Awtomatiko pagpatuman sa palisiya sa mga paghiusa sa DevOps.
Pag-una ug pagsubay mga kalihokan sa pagpanambal.

Pangunang benepisyo

Pagkuha labi ka lawom, labi ka dali nga pagtuki

Giila sa Black Duck ang labi ka bukas nga gigikanan, nga adunay labi ka katukma, nga naggamit us aka talagsaon nga teknolohiya sa pagkakita sa multifactor aron makahimo ug mapamatud-an ang usa ka kompleto nga BOM aron masundan ang gideklara nga mga sangkap, talagsaon file mga pirma sa hash, pagsulbad sa mga pagsalig sa panahon sa paghimo, ug pag-abli sa mga source code Ang intelihente nga kliyente sa pag-scan sa Black Duck naghiusa sa mga gamit sa pag-uswag nga gigamit sa tibuuk nga SDLC ug awtomatiko nga nakita ang mga kahinguhaan aron ma-optimize ang pamaagi sa pag-scan.

Pagpangita ug ayuhon dayon ang mga kahuyang

Ang panan-aw sa peligro nga pagpangita sa peligro sa Black Duck naghiusa sa mga gisulat nga datos gikan sa mga publiko nga gigikanan (pananglitan, NVD) ug detalyado, pagpanag-iya nga pagpanag-iya gikan sa Synopsys Cybersecurity Research Center (CyRC). Pagpahibalo sa bag-ong mga kahuyang mga semana sa wala pa kini ma-publish sa NVD (pagminus sa imong bintana sa pagkaladlad), ug pagpahimulos gikan sa among eksklusibo nga gipaayo nga datos sa kahuyang ug mga Black Duck Security Advisories (BDSAs), lakip ang:

Kritikal nga sukdanan sa peligro, piho nga teknikal nga panan-aw sa kahuyang, mga detalye sa pagpahimulos, ug pagtuki sa epekto
Ang CVSS 2 ug CVSS 3 nga pagmarka ug datos sa pagklasipikar sa CWE

Kasagaran nga Pag-ihap sa Sumbanan sa Pag-atake ug Klasipikasyon (CAPEC)
Dili gihatag ang temporal nga pagmarka sa NVD
Ang panudlo sa lebel sa pag-upgrade ug pag-ayo sa remediation, mitigating nga hinungdan, ug pagpugong sa pagbayad
Ang pagtuki sa epekto sa kahuyang aron mahibal-an kung ang dali nga code gitawag sa aplikasyon

Pasadya nga marka sa peligro sa kahuyang aron maparehas ang pro nga peligro sa imong kompanyafile
Gihatagan prioridad ang mga kahuyang alang sa pag-ayo sa daghang mga kritikal nga datos sa datos, lakip ang kabug-at, magamit nga solusyon, mapahimuslanon, CWE, ug maabut

Awtomatiko nga gipatuman ang mga patakaran sa seguridad ug paggamit

I-configure ang imong seguridad sa bukas nga gigikanan ug gamiton ang mga patakaran nga gibase sa usa ka komprehensibo nga han-ay sa mga pamantayan, lakip ang tipo sa lisensya, kabug-at sa kahuyang, bersyon sa bukas nga gigikanan sa gigikanan, ug daghan pa. Pagpatuman sa mga patakaran nga adunay awtomatikong mga pag-aghat sa workflow, abiso, ug pag-apil sa bidirectional Jira alang sa gipadali nga pagsugod ug pagreport sa pag-ayo.

Pag-ila sa mga peligro sa bukas nga gigikanan, bisan kung wala ang source code

Sa Black Duck sa imong toolkit, dali ug dali nimo mahibal-an ang mga binary nga gihatag sa vendor aron mahibal-an ang mga huyang nga mga link sa imong software chain nga wala’y access sa source code. Pagkuha lawom, mahimo nga sukatan nga peligro nga peligro aron makahimo mga nahibal-an nga mga desisyon bahin sa imong paggamit ug pagpamalit sa mga teknolohiya sa wala pa nila mabutang sa peligro. Ang intelihente nga kliyente sa pag-scan sa Black Duck awtomatiko nga gitino kung ang target nga software gigikanan o usa nga nahipos nga binary, pagkahuman mailhan ug katalogo ang tanan nga mga bahin sa software sa ikatulo nga partido, may kalabutan nga mga lisensya, ug nahibal-an nga mga kahuyang nga nakaapekto sa imong aplikasyon.

Itom nga Itik | Pag-scan sa Source & Package Manager

Pag-scan

Mga pinulongan

C
C++
C#
Clojure
Erlang
Golang
Groovy
Java
JavaScript
Kotlin
Node.js
Tumong-C
Perl
Python
PHP
R
Ruby
Scala
Maabtik
.NET Cloud nga mga teknolohiya

Mga Tigdumala sa Pakete

NuGet
Hex
Si Vndr
Godep
Ang Dep
Maven
Gradle
Npm
Mga CocoaPod
Cpanm
Conda
Pear
kompositor
Pip
Packrat
RubyGems
SBT

Pagsuporta sa BDBA Package Manager

Distro-package-manager: Nagpahimulos sa kasayuran gikan sa usa ka database sa tagdumala sa package sa pag-apud-apod sa Linux aron makuha ang kasayuran sa sangkap.
Ang nahabilin nga upat nga pamaagi magamit ra sa Java bytecode:

–Pom: Gikuha ang pakete sa Java, ngalan sa grupo, ug bersyon gikan sa pom.xml o pom.properties files sa usa ka JAR file.

–Manifest: gikuha ang ngalan sa Java package ug bersyon gikan sa mga entry sa MANIFEST.MF file sa usa ka JAR file.

–Jar-filengalan: Gikuha ang ngalan sa Java package ug bersyon gikan sa garaponfilengalan.

–Hashsum: Gigamit ang sha1 checkum sa JAR file aron mapangita kini gikan sa mga nahibal-an nga Maven Central nga nakarehistro nga mga proyekto sa Java.

Mga format sa binary

Mga binaryary nga lumad
Mga binary sa Java
.NET nga mga binary
Pag-adto sa mga binary

Mga porma sa compression

Gzip (.gz)
bzip2 (.bz2)
LZMA (.lz)
LZ4 (.lz4)
Pag-compress (.Z)
XZ (.xz)
Pack200 (.jar)
UPX (.exe)
Snappy
mipahiyos
zStandard (.zst)

Mga format sa archive

ZIP (.zip, .jar, .apk, ug uban pang mga gigikanan)
XAR (.xar)
7-Zip (.7z)
ARJ (.arj)
TAR (.tar)
VM TAR (.tar)
cpio (.cpio)
RAR (.rar)
LZH (.lzh)
Electron archive (.asar)
DUMP

Mga format sa pag-install

Red Hat RPM (.rpm)
Pakete sa Debian (.deb)
Mga installer sa Mac (.dmg, .pkg)
Unix shell file mga installer (.sh, .bin)
Mga installer sa Windows (.exe, .msi, .cab)
vSphere Installation Bundle (.vib)
Pag-install sa Bitrock
Gisuportahan ang mga format sa generator og installer:

–7z, zip, rar kaugalingon nga pagkuha .exe

– MSI Installer

–Cab Installer

- Pag-instalar bisan asa

–I-install4J

–InstallShield

– InnoSetup

–Maalam nga Installer

-Nullsoft Scriptable Install System (NSIS)

-WiX Installer

Mga format sa firmware

Intel HEX
SREC
U-Boot
Firmware ni Arris
Juniper firmware
Firmware sa Kosmos
Dili kaayo Android file sistema
Firmware sa Cisco

File mga sistema sa imahe / disk

ISO 9660 / UDF (.iso)
Windows Imaging
ext2 / 3/4
JFFS2
UBIFS
RomFS
Microsoft Disk Image
Macintosh HFS
VMware VMDK (.vmdk, .ova)
QEMU Copy-On-Writing (.qcow2)
VirtualBox VDI (.vdi)
QNX — EFS, IFS
Hulagway sa NetBoot (.nbi)
Libre ngaBSD UFS

Mga Format sa sulud

Docker

Itom nga Itik ra

BDBA ra

Itom nga Itik | Mga panagsama

Mga teknolohiya sa panganod

Mga plataporma sa panganod

Amazon Web Mga serbisyo
Google Cloud Platform
Microsoft Azure

Mga plataporma sa sulud

Docker
OpenShift
Pivotal nga Cloud Foundry
Mga tagdumala sa Kubernetes Package

Mga database

PostgreSQL

Mga gamit sa DevOps

Mga IDE

Eclipse
Visual Studio IDE

Padayon nga paghiusa

Jenkins
TeamCity
Kawayan
Server sa Team Foundation
Travis CI
CircleCI
GitLab CI
Mga Serbisyo sa Team sa Visual Studio
Concourse CI
AWS CodeBuild
Codeship

Pag-agas sa trabaho ug mga pahibalo

Jira
Slack
Email
SPDX

Mga repository sa binary ug gigikanan

Artifactory
Nexus

Mga suite sa seguridad sa aplikasyon

IBM AppScan
Micro Focus Fortify
SonarQube
ThreadFix
Cybric
Kodigo Dx

Ang kalainan sa Synopsys

Gitabangan sa mga Synopsy ang mga pangkat sa pag-uswag nga makahimo og sigurado, de-kalidad nga software, pagminus sa mga peligro samtang gipadako ang kadali ug pagkamabungahon. Ang Synopsys, usa ka giila nga nanguna sa seguridad sa aplikasyon, naghatag static analysis, pagtuki sa komposisyon sa software, ug dinamikong mga solusyon sa pagtuki nga makahimo ang mga koponan nga dali makit-an ug ayohon ang mga kahuyang ug mga depekto sa proprietary code, bukas nga mga sangkap sa gigikanan, ug pamatasan sa aplikasyon.

Alang sa dugang nga kasayuran bahin sa Synopsys Software Integrity Group, bisitaha kami online sa www.synopsys.com/software.

Synopsys, Inc.

185 Berry Street, Suite 6500

San Francisco, CA 94107 USA

Pagbaligya sa US: 800.873.8193

Pagbaligya sa Internasyonal: +1 415.321.5237

Email: sig-info@synopsys.com

© 2020 Synopsys, Inc. Tanan nga mga katungod gigahin. Ang Synopsys usa ka trademark sa Synopsys, Inc. sa Estados Unidos ug uban pang mga nasud. Ang usa ka lista sa mga trademark nga Synopsys magamit sa https://uspto.report/company/Synopsys-Inc. Ang tanan nga uban pang mga ngalan nga gihisgutan dinhi mga marka sa pamaligya o rehistradong marka sa pamaligya sa ilang tag-iya. Septyembre 2020

Pagsusi sa Komposisyon sa Itom nga Duck Software - Na-optimize nga PDF
Pagsusi sa Komposisyon sa Itom nga Duck Software - Orihinal nga PDF

Mga pakisayran

Manwal sa Gumagamit