Analisis Komposisi Piranti Lunak Bebek Ireng

Isine ndhelikake

1 Bebek Ireng

1.1 Analisis Komposisi Piranti Lunak

1.1.1 Swaraview

1.1.2 Solusi terintegrasi kanggo sumber lan binar

1.1.3 Bebek Ireng | Integrasi

1.2 Referensi

2 Kiriman sing gegandhengan

Bebek Ireng

Analisis Komposisi Piranti Lunak

Aman lan atur open source ing saindhenging rantai suplai perangkat lunak

Swaraview

Black Duck minangka solusi lengkap kanggo ngatur keamanan, kepatuhan lisensi, lan risiko kualitas kode sing asale saka panggunaan open source ing aplikasi lan kontainer. Dijenengi pimpinan analisis komposisi perangkat lunak (SCA) dening Forrester, Black Duck menehi visibilitas sing ora ana tandhingane karo kode pihak katelu, supaya sampeyan bisa ngontrol jaringan suplai piranti lunak lan sajrone siklus urip aplikasi.

Solusi terintegrasi kanggo sumber lan binar

Mung Black Duck nggabungake manajemen risiko open source serbaguna kanthi inspeksi biner jero kanggo nyedhiyakake solusi SCA kelas paling apik sing mbantu sampeyan nyilikake risiko sing ana gandhengane karo open source lan piranti lunak pihak katelu liyane. Ing wektu nalika open source nyipta 70% rata-rata codebase, Black Duck nguatake tim pangembangan, operasi, pengadaan, lan keamanan kanggo:

Temokake lan ndandani kerentanan keamanan ing saben stage ing SDLC, kanthi pandhuan remediasi khusus kerentanan lan wawasan teknis sing rinci.
Ngilangi risiko ora cocog karo lisensi sumber terbuka lan jaga properti intelektual kanthi nggunakake basis pengetahuan open source paling gedhe ing industri kanggo ngenali endi saka 2,650 lisensi sing ana gandhengane karo sumber terbuka ing aplikasi sampeyan (kalebu cuplikan kode saka komponen sing luwih gedhe).

Aja ngindhari biaya pangembangan lan bosok kode pertempuran kanthi metrik risiko operasional sing ana gandhengane karo kualitas kode open source sing kurang apik.
Scan meh kabeh perangkat lunak, firmware, lan kode sumber kanggo ngasilake tagihan materi (BOM) lengkap babagan apa sing ana ing njero.

Ngawasi kerentanan anyar kanthi otomatis sing mengaruhi BOM sampeyan, kanthi kabijakan khusus lan pemicu alur kerja kanggo nyepetake remediasi lan nyuda paparan risiko sampeyan.
1

Temokake

Ngenali open source ing kode, binar, lan kontainer.
Ndeteksi komponen sebagean lan modifikasi.
Otomatis mindhai karo integrasi DevOps.

Nglindhungi

peta komponen kanggo kerentanan sing dingerteni.
Ngenali lisensi lan risiko kualitas komponen.
Ngawasi kanggo kerentanan anyar ing pembangunan lan produksi.

Ngatur

Nyetel lan nglakokake panggunaan sumber terbuka lan kabijakan keamanan.
Otomatis penegakan kebijakan kanthi integrasi DevOps.
Prioritasake lan lacak kegiyatan remediasi.

Keuntungan utama

Goleki analisis sing luwih jero lan luwih ramping

Black Duck ngenali sumber sing luwih mbukak, kanthi akurasi sing luwih gedhe, nggunakake teknologi deteksi multifaktor unik kanggo ngasilake lan ngesyahke BOM lengkap kanggo nglacak komponen sing diumumake, unik. file tandha hash, dependensi sing ditanggulangi sajrone mbangun, lan potongan kode sumber terbuka. Klien pindai cerdas Black Duck nggabungake karo alat pangembangan sing digunakake ing saindhenging SDLC lan kanthi otomatis ndeteksi sumber daya kanggo ngoptimalake metodologi pindai.

Temokake lan ndandani kerentanan kanthi cepet

Wawasan risiko keamanan sumber terbuka Black Duck nggabungake data sing dikurasi saka sumber umum (kayata, NVD) lan analisis proprietari rinci saka Pusat Penelitian Cybersecurity Synopsys (CyRC). Wartakake babagan kerentanan anyar sawetara minggu sadurunge diterbitake ing NVD (nyuda jendhela cahya sampeyan), lan entuk manfaat saka data kerentanan khusus lan Black Duck Security Advisories (BDSAs), kalebu:

Metrik risiko kritis, wawasan teknis khusus kerentanan, rincian eksploitasi, lan analisis pengaruh
Data klasifikasi CVSS 2 lan CVSS 3 lan klasifikasi CWE

Enumerasi lan Klasifikasi Pola Serangan Umum (CAPEC)
Skor sementara ora diwenehake dening NVD
Nganyari level komponen lan pandhuan remediasi, faktor mitigasi, lan kontrol kompensasi
Analisis pengaruh kerentanan kanggo nemtokake manawa kode rentan lagi ditelpon aplikasi

Skor risiko kerentanan khusus kanggo cocog karo pro risiko perusahaan sampeyanfile
Kerentanan diprioritasake kanggo remediasi liwat pirang-pirang poin data kritis, kalebu keruwetan, kasedhiyan solusi, eksploitasi, CWE, lan kemampuan nggayuh

Nguatake kabijakan keamanan lan nggunakake kanthi otomatis

Konfigurasi keamanan sumber terbuka lan gunakake kabijakan adhedhasar kriteria lengkap, kalebu jinis lisensi, keruwetan kerentanan, versi komponen open source, lan liya-liyane. Nindakake kabijakan kanthi pemicu alur kerja otomatis, notifikasi, lan integrasi Jira bidirectional kanggo inisiasi remediasi lan pelaporan sing luwih cepet.

Identifikasi risiko sumber terbuka, sanajan tanpa kode sumber

Kanthi Black Duck ing toolkit sampeyan, sampeyan kanthi cepet lan gampang bisa nganalisa binar sing disedhiyakake vendor kanggo ngenali tautan sing ringkih ing rantai pasokan piranti lunak tanpa akses menyang kode sumber. Entuk metrik risiko sing bisa ditrapake kanggo njupuk keputusan babagan panggunaan lan pengadaan teknologi sadurunge menehi resiko. Klien pindai cerdas Black Duck kanthi otomatis nemtokake manawa piranti lunak target minangka sumber utawa binar sing dikompilasi, banjur identifikasi lan katalog kabeh komponen piranti lunak pihak katelu, lisensi sing ana gandhengane, lan kerentanan sing dingerteni sing mengaruhi aplikasi sampeyan.

Bebek Ireng | Scanning Sumber & Paket Paket

Scanning

Basa

C
C++
C#
Clojure
Erlang
Golang
Groovy
Jawa
JavaScript
Kotlin
Node.js
Tujuan-C
Perl
Python
PHP
R
Ruby
Skala
Cepet
Teknologi NET Cloud

Manajer Paket

NuGet
Hex
Vndr
Godep
Dep
Maven
Gradle
Npm
CocoaPods
Cpanm
Conda
woh pir
Pengarang
Pip
Packrat
RubyGems
SBT

Dhukungan Manajer Paket BDBA

Distro-package-manager: Nggunakake informasi saka database manajer paket distribusi Linux kanggo ngekstrak informasi komponen.
Papat cara sing isih ana mung ditrapake kanggo bytecode Java:

–pom: Ekstrak paket Java, jeneng grup, lan versi saka pom.xml utawa pom.properties files ing JAR file.

–manifest: extract jeneng paket Java lan versi saka entri ing MANIFEST.MF file ing JAR file.

-jar-filejeneng: Ekstrak jeneng paket Java lan versi saka jar-filejeneng.

–hashsum: Nggunakake checksum sha1 saka JAR file kanggo nggoleki saka dikenal Maven Central kadhaptar proyèk Jawa.

Format binar

Binar pribumi
Binar jawa
Binar .NET
Bukak binar

Format kompresi

Gzip (.gz)
bzip2 (.bz2)
LZMA (.lz)
LZ4 (.lz4)
Kompres (.Z)
XZ (.xz)
Paket 200 (.jar)
UPX (.exe)
Cepet
DEFLATE
zStandar (.zst)

Format arsip

ZIP (.zip, .jar, .apk, lan turunan liyane)
XAR (.xar)
7-Zip (.7z)
ARJ (.arj)
TAR (.tar)
VM TAR (.tar)
cpio (.cpio)
RAR (.rar)
LZH (.lzh)
Arsip elektron (.asar)
DUMP

Format instalasi

Red Hat RPM (.rpm)
Paket Debian (.deb)
Penginstal Mac (.dmg, .pkg)
Cangkang Unix file installer (.sh, .bin)
Panginstal Windows (.exe, .msi, .cab)
Bundel Instalasi vSphere (.vib)
Panginstal Bitrock
Format generator installer sing didhukung:

–7z, zip, rar dhewe ngekstrak .exe

– MSI Installer

–Pasang CAB

–PasangAndi endi wae

–Pasang4J

- InstalShield

-InnoSetup

–Pasang Instal

–Sistem Instal Skrip Nullsoft (NSIS)

- Penginstal WiX

Format firmware

Intel HEX Kab
SREC
U-Boot
Firmware Arris
Perangkat kukuh Juniper
Firmware Kosmos
Android langka file sistem
Firmware firmware

File gambar sistem / disk

ISO 9660 / UDF (.iso)
Windows Imaging
ext2 / 3/4
JFFS2
UBIFS
RomFS
Gambar Disk Microsoft
Macintosh HFS
VMware VMDK (.vmdk, .ova)
QEMU Copy-On-Writing (.qcow2)
VirtualBox VDI (.vdi)
QNX — EFS, IFS
Gambar NetBoot (.nbi)
FreeBSD UFS

Format Wadah

Docker

Mung Bebek Ireng

Mung BDBA

Bebek Ireng | Integrasi

Teknologi awan

Platform awan

Amazon Web Layanan
Google Cloud Platform
Microsoft Azure

Platform wadhah

Docker
OpenShift
Pengecoran Awan Pivotal
Managers Paket Kubernetes

Database

PostgreSQL

Alat DevOps

IDE

grahana
Visual Studio IDE

Integrasi terus-terusan

Jenkins
TeamCity
pring
Server Yayasan Tim
Travis CI
Lingkar CI
GitLab CI
Layanan Tim Visual Studio
Concourse CI
AWS CodeBuild
Kodeship

Alur kerja lan kabar

Jira
Slack
Email
SPDX

Repositori binar lan sumber

Artifactory
Nexus

Suite keamanan aplikasi

IBM AppScan
Mikro Fokus Fortify
SonarQube
ThreadFix
Cybric
Kode Dx

Bedane Synopsys

Sinopsi mbantu tim pangembangan nggawe piranti lunak sing berkualitas, aman, minimalake risiko nalika nggedhekake kacepetan lan produktivitas. Synopsys, pimpinan keamanan aplikasi sing diakoni, nyedhiyakake analisis statis, analisis komposisi piranti lunak, lan solusi analisis dinamis sing mbisakake tim nemokake kanthi cepet lan ngrampungake kerentanan lan cacat kode kepemilikan, komponen sumber terbuka, lan prilaku aplikasi.

Kanggo informasi luwih lengkap babagan Group Integrity Software Synopsys, bukak kanthi online ing www.synopsys.com/software.

Synopsys, Inc.

185 Berry Street, Suite 6500

San Francisco, CA 94107 AS

Penjualan AS: 800.873.8193

Sales Internasional: +1 415.321.5237

Email: sig-info@synopsys.com

© 2020 Synopsys, Inc. Kabeh hak dilindhungi undhang-undhang. Synopsys minangka merek dagang saka Synopsys, Inc. ing Amerika Serikat lan negara liya. Dhaptar merek dagang Synopsys kasedhiya ing https://uspto.report/company/Synopsys-Inc. Kabeh jeneng liyane sing kasebut ing kene minangka merek dagang utawa merek dagang pangguna saka pamilik. September 2020

Analisis Komposisi Piranti Lunak Bebek Ireng - PDF sing dioptimalake
Analisis Komposisi Piranti Lunak Bebek Ireng - PDF Asli

Referensi

Manual pangguna