소스 및 바이너리를 위한 통합 솔루션
애플리케이션 및 컨테이너에서 오픈 소스 및 타사 코드를 사용하여 발생하는 보안, 품질 및
라이센스 준수 위험 관리를위한 포괄적인 소프트웨어 구성 분석 (SPA) 솔루션을 제공합니다.
-
심층적이고
효율적인 분석 -
신속한
취약점 해결 -
자동화 보안
정책 사용 -
소스코드 없이
오픈소스 위험 식별
Black Duck SCA
개발에서 배포에 이르는 오픈소스 보안 및 관리
타사 코드에 대한 탁월한 가시성을 제공하므로 소프트웨어 공급망과 애플리케이션 수명주기 전반에 걸쳐 코드를 제어 할 수 있습니다.
Black Duck은 보안, 라이센스 컴플라이언스 및 애플리케이션에서 오픈 소스 사용으로 인해 발생하는 코드 위험을 식별합니다.
오픈 소스의 위험
-
추적되지 않은 오픈 소스로 인해
위험에 처하게됩니까?타사 코드는 시간과 비용을 절약하지만 다음과 같은 위험을 초래할 수 있습니다.
보안 취약성
(예 : 국가 취약성 데이터베이스에서 식별 된 CVE)
일반적인 소프트웨어 취약점
(예 : SANS Top 25 또는 OWASP Top 10)
라이센스 위반 및 IP 소유권과 관련된 위험
Black Duck으로 오픈 소스 위험 관리
Black Duck 소프트웨어 구성 분석은 동급 최강의 솔루션에 다양한 오픈 소스 위험 관리 및 심층 바이너리 검사를
결합합니다. Black Duck은 개발, 운영, 조달 및 보안 팀에게 오픈 소스 및 기타 타사 소프트웨어의 보안, 규정 준수 및
코드 품질 위험을 최소화하는 데 필요한 도구를 제공함과 동시에 그로 인한 이점을 실현합니다.
-
탐지
코드, 바이너리 및 컨테이너에서
오픈 소스 식별부분 및 수정 된 구성 요소 탐지
DevOps 통합으로 스캔 자동화
-
보호
알려진 취약성에 구성 요소 매핑
라이센스 및 구성 요소 품질 위험 식별
개발 및 생산의 새로운 취약성 모니터링
-
정책
오픈 소스 사용 및 보안 정책 설정 및 시행
DevOps 통합을 통한 정책 시행 자동화
수정 활동 우선 순위 지정 및 추적
개발중 오픈 소스 관리
Black Duck 소프트웨어 구성 분석을 사용하면 응용 프로그램의 소스 코드 내에서 오픈 소스 구성 요소를 식별 및
추적하고 위험에 노출 된 새로운 취약점과 기존 취약점을 모니터링 할 수 있습니다.
-
단계별 오픈 소스 감지
선언된 컴포넌트, 고유 한 해시 서명 및 빌드 중에
해결된 종속성을 식별합니다. -
오픈 소스의 전체 인벤토리를 생성
응용 프로그램에 포함 된 모든 타사 구성 요소,
라이센스 및 버전을 추적합니다. -
BOM을 맵핑
관련 위험 지표 및 실행 가능한
치료 지침 정보를 제공합니다. -
더 깊은 취약성에 대한 통찰력
NVD에 게시되기 3주전까지 새로운 취약점에 대한
알림을 받아 노출 범위를 줄입니다.
프로덕션 배포중 오픈 소스 관리
Black Duck OpsSight는 알려진 오픈 소스 취약점이 프로덕션 환경에 배포되는 것을 방지합니다. OpsSight를
사용하면 오픈 소스 구성 요소와 생성 한 컨테이너 이미지에 존재하는 관련 보안 취약점과 프로덕션 환경에서
실행중인 보안 취약점에 대한 전례없는 가시성을 얻을 수 있습니다.
-
취약점
OpsSight는 컨테이너 오케스트레이션 플랫폼과 연동하여 클러스터 내에서 사용되는 컨테이너 이미지를 스캔하고 알려진 취약점에 대해보고합니다.
-
감시 장치
OpsSight는 컨테이너 이미지에있는 오픈 소스에 대한 새로운 오픈 소스 보안 공개 및 구성 요소 변경 사항을 지속적으로 모니터링합니다.
-
보고서
스캔 결과는 컨테이너 이미지에 메타 데이터로 배치되므로 컨테이너 오케스트레이션 플랫폼의 콘솔에서 취약성 위험을 표시하고 정책을 직접 시행 할 수 있습니다.