The Synopsys Software Integrity Group is now Black Duck®. Learn More

如果贵机构需要管理付款、处理敏感的客户或患者数据,或在受监管的市场经营业务,就可能需要证明自身符合具体标准,这样才能维持客户的信任并免受法律或法规的处罚。

在您的 SDLC 中构建合规

Black Duck 工具和服务能够将软件测试集成到开发工作流中,着重针对合规目标进行分析和修补,并根据对您的业务而言最重要的软件标准进行报告。

满足您合规需求的解决方案

软件是区分许多组织的关键要素。但在将软件交付给客户之前,您需要确保它符合对您的业务至关重要的编码标准。Black Duck 工具、服务和在线学习有助于遵守与软件质量、网络安全、功能安全和隐私相关的诸多标准。

航空航天与国防


DISA-STIG

Coverity® 静态分析可识别应用程序代码中的潜在安全漏洞和缺陷,使具有 DISA-STIG 要求的组织能够根据这些准则跟踪问题、确定问题的优先排序并解决问题。代码扫描可以发现影响 DISA-STIG 合规性的各种缺陷,包括竞争条件、错误处理和溢出。

DO-330 / DO-178C

Coverity 可集成到机载系统软件的开发生命周期中,以识别可能妨碍符合 DO-330 要求的代码缺陷。它提供了详细的修补指南,帮助解决可能影响此类系统安全性、可靠性和有效性的问题。Coverity 认证套件可确保 Coverity 按照 DO-178C 标准的要求在最终用户构建环境中正确配置和运行。

汽车


AUTOSAR

Coverity 通过识别代码质量和安全缺陷并将其映射到对应本标准的规则,来满足 AUTOSAR 要求。可以根据拉取请求自动运行代码扫描,在最容易解决问题的 SDLC 早期发现问题。本地报告可以轻松执行 AUTOSAR 编码标准、优先排序问题并提供合规证据。

MISRA

Coverity 静态分析支持 MISRA 编码标准,能够识别相关缺陷,根据预定义策略分配分数,并确定问题修补优先顺序。可以根据拉取请求触发代码扫描,在最容易解决问题的 SDLC 早期发现问题。本地报告提供符合 MISRA 编码标准的证据。

ISO 26262

Black Duck 通过提供自有代码的静态分析和软件组成分析来识别第三方和开源组件的弱点,并借助模糊测试发现服务和协议中的缺陷和零日漏洞,帮助组织在开发和测试安全关键软件时满足 ISO 26262 合规。Coverity 认证套件可确保 Coverity 按照 ISO 26262 的要求在最终用户构建环境中正确配置和运行。

ISO / SAE 21434

Black Duck 在道路车辆系统的软件开发生命周期 (SDLC) 中提供自动化静态代码分析、开源组件的漏洞扫描、模糊测试和渗透测试,帮助组织满足 ISO 21434 对安全软件开发的要求。问题报告可根据 ISO 21434 要求进行定制,以跟踪和管理对这些标准的遵守情况。

Hyundai 编码标准

Coverity 静态分析提供代码质量和安全检查程序,以查找违反 Hyundai C、C++ 和 Java 编码标准的缺陷。本地报告通过显示所有未决违规的详细信息,以及每条规则的描述及其严重性级别、优先级和违规次数,帮助安全团队确定结果的优先级。

金融服务


PCI DSS

具有 PCI DSS 要求的公司可以从 Coverity 静态分析和 Seeker® IAST 功能中受益。这两种解决方案都提供了复杂的敏感数据泄漏检查程序,帮助确保持卡人数据和 PII 数据得到妥善处理。此外,Coverity 还可识别超过 25 种类型的敏感数据并灵活报告,以提供 PCI DSS 合规证据。

<

医疗设备


FDA 第 524B 节

Black Duck 安全服务团队帮助组织规划和实施符合 FDA 指南和标准所需的工具,包括策略规划、威胁风险评估和架构评审。此外,Coverity 静态分析和 Black Duck® 软件组成分析 (SCA) 简化了根据 FDA 要求跟踪和管理安全、质量和许可证风险的工作。Defensics® 协议模糊测试功能可在软件创建的开发和测试阶段主动检测与医疗设备所用协议相关的安全问题。

公共部门


FedRAMP

Black Duck AppSec 产品组合和服务团队帮助联邦机构和政府承包商解决所有与 AppSec 相关的 FedRAMP 控制和要求问题。从意识培训到规划和安全风险评估,我们的服务团队提供连贯的方法,以在您的软件开发过程中构建完整性。静态代码分析、开源软件持续监控和渗透测试是 Black Duck 产品组合的关键要素,有助于跟踪、管理和展示符合 FedRAMP 要求的证据。

NIST SP 800-161

Black Duck SCA 为构建安全软件供应链奠定了基础。联邦机构可生成 SPDX 和 CycloneDX 软件物料清单 (SBOM),以满足监管和客户要求。可以无缝整合供应商的 SBOM,帮助您全面了解您的供应链组件和风险。

NIST SP800-218

Black Duck 工具和服务组合可帮助组织遵守 NIST 安全软件开发框架 (SSDF) 中包含的建议,尤其是“生产安全可靠的软件 (PW)”部分的建议。Black Duck AppSec 服务团队提供培训、威胁建模和架构评估,以帮助确定软件风险,并设计出最能削减这些风险的解决方案。Black Duck 静态代码分析和 SCA 解决方案提供对自有和开源软件代码的自动化测试,以在 SDLC 早期识别漏洞及其根源,同时提供详细的修补指南,从而消除问题并帮助防止未来产生类似的缺陷。

让我们帮助您驾驭复杂的合规环境

无论是在开发之前、期间还是之后,Black Duck 都能帮助您验证和维护合规性。

许多 Black Duck 员工正在或曾担任与软件质量和安全标准、政策和监管指南以及开源社区计划相关的委员会、工作组、计划和项目的主题专家。

查看标准和政策协作

查看开源社区计划