The Synopsys Software Integrity Group is now Black Duck®. Learn More

很多开源软件通过第三方库和可执行文件进入您的组织。这些开源软件可能会带来您需要解决的隐藏漏洞和许可义务。但是,大多数软件组件分析 (SCA) 解决方案都需要访问源代码或构建系统,从而使您的软件供应链面临风险。

检测软件二进制文件的安全和许可证风险

Black Duck® 二进制分析使您能够查看已编译到可执行文件、库、容器和固件中的开源和第三方依赖关系。您可以使用直观的用户界面或 Black Duck 多因子开源监测来分析单个文件,从而自动扫描二进制制品。

Black Duck 二进制分析利用静态和字符串分析技术以及与 Black Duck 知识库的模糊匹配,快速可靠地识别组件,即使这些组件已被修改。

交付前扫描可执行文件和容器

即使您在构建过程中执行 SCA 扫描,新的开源组件也可以在打包以交付给您的客户或生产环境时进入您的应用程序。

Black Duck 二进制分析使您能够快速轻松地在容器和可执行文件上运行部署前安全扫描,以确保最终产物不会引入新的组件或漏洞。

解决已知漏洞以外的安全风险

开源漏洞并不是应用程序二进制文件中可能潜藏的唯一安全问题。

Black Duck 二进制分析还可以检测是否暴露了电子邮件地址、授权令牌、编译器开关和密码等敏感信息,并识别移动应用程序何时请求过度许可,所有这些都会使您的组织和用户的个人数据面临风险。

检测和管理软件供应链风险

现代应用程序是专有、开源和第三方组件(通过各种来源获得)的复杂组合。

Black Duck 二进制分析可帮助您检测和管理软件供应链中的安全和许可证风险,包括:

  • 您构建的软件中使用的第三方库
  • 您从独立软件供应商处采购的打包软件
  • 物联网/嵌入式固件
  • 容器和容器镜像
  • 已修改和未修改的开源组件

相关内容