抱歉，尚不支持此语言

English
日本語
简体中文

AI-generated code | Harness the power of AI coding assistants while managing the risks.
API Security Testing | Manage software risks with a holistic API security testing program.
AppSec Consolidation | Simplify your application security program
Application Security Testing | Solutions to address security risks at all stages of the application life cycle.
DevSecOps | Solutions to help shift security left without slowing down your development teams.
Software Supply Chain Security | Solutions to identify and manage software supply chain risks end-to-end.
Manage AppSec Risk | Scale your application security program without increasing complexity or adding friction.
Cloud & Container Security | Optimize your applications for secure deployment and operation in the cloud.
Open Source License Compliance | Effective solutions for ensuring open source license compliance.
M&A Due Diligence | Identify software risks that could negatively impact the value of acquired IP.
Quality & Security Standards Compliance | Ensure your software complies with the standards critical to customers and regulators.

Static Analysis (SAST) | Analyzing code for security vulnerabilities without executing it.
Software Composition Analysis (SCA) | Analyzing software components for security and license compliance.
Dynamic Analysis (DAST) | Testing running applications for security vulnerabilities.
Interactive Analysis (IAST) | Real-time security testing during application execution.
Penetration Testing | Simulated cyberattacks to identify vulnerabilities.
Mobile Application Security Testing (MAST) | Ensuring the security of mobile applications.
Application Security Posture Management (ASPM) | Managing and improving application security posture.
Fuzz Testing | Identifying vulnerabilities by inputting random data to applications.

Automotive | Security solutions for automotive industry applications.
Financial Services | Security solutions tailored for financial services.
IoT & Embedded | Security for Internet of Things and embedded systems.
Medical Device | Security solutions for medical devices.
Public Sector | Security solutions for government and public sector organizations.

Dev and DevOps Teams | Security tools and practices for development and DevOps teams.
Security Teams | Solutions and support for dedicated security teams.
Legal Teams | Resources and compliance tools for legal teams.

软件标准和安全合规

确保您的软件符合对客户和监管机构至关重要的标准

准备好开始了吗？

如果贵机构需要管理付款、处理敏感的客户或患者数据，或在受监管的市场经营业务，就可能需要证明自身符合具体标准，这样才能维持客户的信任并免受法律或法规的处罚。

在您的 SDLC 中构建合规

Black Duck 工具和服务能够将软件测试集成到开发工作流中，着重针对合规目标进行分析和修补，并根据对您的业务而言最重要的软件标准进行报告。

在 Black Duck 的帮助下实现合规

联系我们，了解如何帮助您实现特定的合规目标。

一起探讨吧

满足您合规需求的解决方案

软件是区分许多组织的关键要素。但在将软件交付给客户之前，您需要确保它符合对您的业务至关重要的编码标准。Black Duck 工具、服务和在线学习有助于遵守与软件质量、网络安全、功能安全和隐私相关的诸多标准。

航空航天与国防

DISA-STIG

Coverity® 静态分析可识别应用程序代码中的潜在安全漏洞和缺陷，使具有 DISA-STIG 要求的组织能够根据这些准则跟踪问题、确定问题的优先排序并解决问题。代码扫描可以发现影响 DISA-STIG 合规性的各种缺陷，包括竞争条件、错误处理和溢出。

DISA-STIG 资源
- 适用于 DISA-STIG 的 Coverity 静态分析

DO-330 / DO-178C

Coverity 可集成到机载系统软件的开发生命周期中，以识别可能妨碍符合 DO-330 要求的代码缺陷。它提供了详细的修补指南，帮助解决可能影响此类系统安全性、可靠性和有效性的问题。Coverity 认证套件可确保 Coverity 按照 DO-178C 标准的要求在最终用户构建环境中正确配置和运行。

DO-330 / DO-178C 资源
- 适用于 DO-178C 的 Coverity 风险削减功能
- 适用于 DO-330 合规的 Coverity 认证套件

了解有关 Black Duck 汽车解决方案的更多信息

汽车

AUTOSAR

Coverity 通过识别代码质量和安全缺陷并将其映射到对应本标准的规则，来满足 AUTOSAR 要求。可以根据拉取请求自动运行代码扫描，在最容易解决问题的 SDLC 早期发现问题。本地报告可以轻松执行 AUTOSAR 编码标准、优先排序问题并提供合规证据。

AUTOSAR 资源
- 适用于 AUTOSAR 标准的 Coverity 支持
- AUTOSAR 概述

MISRA

Coverity 静态分析支持 MISRA 编码标准，能够识别相关缺陷，根据预定义策略分配分数，并确定问题修补优先顺序。可以根据拉取请求触发代码扫描，在最容易解决问题的 SDLC 早期发现问题。本地报告提供符合 MISRA 编码标准的证据。

MISRA 资源
- 适用于 MISRA 标准的 Coverity 支持
- 如何实现 MISRA 和 AUTOSAR 代码合规性

ISO 26262

Black Duck 通过提供自有代码的静态分析和软件组成分析来识别第三方和开源组件的弱点，并借助模糊测试发现服务和协议中的缺陷和零日漏洞，帮助组织在开发和测试安全关键软件时满足 ISO 26262 合规。Coverity 认证套件可确保 Coverity 按照 ISO 26262 的要求在最终用户构建环境中正确配置和运行。

ISO 26262 资源
- 符合 ISO 26262 准则
- 适用于 ISO-26262 合规性的 Coverity 认证套件

ISO / SAE 21434

Black Duck 在道路车辆系统的软件开发生命周期 (SDLC) 中提供自动化静态代码分析、开源组件的漏洞扫描、模糊测试和渗透测试，帮助组织满足 ISO 21434 对安全软件开发的要求。问题报告可根据 ISO 21434 要求进行定制，以跟踪和管理对这些标准的遵守情况。

ISO / SAE 21434 资源
- 您准备好接受 ISO 21434 道路车辆网络安全标准了吗？

Hyundai 编码标准

Coverity 静态分析提供代码质量和安全检查程序，以查找违反 Hyundai C、C++ 和 Java 编码标准的缺陷。本地报告通过显示所有未决违规的详细信息，以及每条规则的描述及其严重性级别、优先级和违规次数，帮助安全团队确定结果的优先级。

Hyundai 编码标准资源
- Coverity 中的 Hyundai 编码标准报告

金融服务

PCI DSS

具有 PCI DSS 要求的公司可以从 Coverity 静态分析和 Seeker® IAST 功能中受益。这两种解决方案都提供了复杂的敏感数据泄漏检查程序，帮助确保持卡人数据和 PII 数据得到妥善处理。此外，Coverity 还可识别超过 25 种类型的敏感数据并灵活报告，以提供 PCI DSS 合规证据。

PCI DSS 资源

了解有关 Black Duck 金融服务解决方案的更多信息

了解有关 Black Duck 医疗设备解决方案的更多信息

医疗设备

FDA 第 524B 节

Black Duck 安全服务团队帮助组织规划和实施符合 FDA 指南和标准所需的工具，包括策略规划、威胁风险评估和架构评审。此外，Coverity 静态分析和 Black Duck® 软件组成分析 (SCA) 简化了根据 FDA 要求跟踪和管理安全、质量和许可证风险的工作。Defensics® 协议模糊测试功能可在软件创建的开发和测试阶段主动检测与医疗设备所用协议相关的安全问题。

FDA 第 524B 节资源
- 保障向 FDA 提交的联网医疗设备的安全

公共部门

FedRAMP

Black Duck AppSec 产品组合和服务团队帮助联邦机构和政府承包商解决所有与 AppSec 相关的 FedRAMP 控制和要求问题。从意识培训到规划和安全风险评估，我们的服务团队提供连贯的方法，以在您的软件开发过程中构建完整性。静态代码分析、开源软件持续监控和渗透测试是 Black Duck 产品组合的关键要素，有助于跟踪、管理和展示符合 FedRAMP 要求的证据。

NIST SP 800-161

Black Duck SCA 为构建安全软件供应链奠定了基础。联邦机构可生成 SPDX 和 CycloneDX 软件物料清单 (SBOM)，以满足监管和客户要求。可以无缝整合供应商的 SBOM，帮助您全面了解您的供应链组件和风险。

NIST SP 800-161 资源
- 不要让供应链安全风险危害您的组织
- 不要成为客户供应链安全中的薄弱环节

NIST SP800-218

Black Duck 工具和服务组合可帮助组织遵守 NIST 安全软件开发框架 (SSDF) 中包含的建议，尤其是“生产安全可靠的软件 (PW)”部分的建议。Black Duck AppSec 服务团队提供培训、威胁建模和架构评估，以帮助确定软件风险，并设计出最能削减这些风险的解决方案。Black Duck 静态代码分析和 SCA 解决方案提供对自有和开源软件代码的自动化测试，以在 SDLC 早期识别漏洞及其根源，同时提供详细的修补指南，从而消除问题并帮助防止未来产生类似的缺陷。

NIST SP800-218 资源
- 软件供应链服务

了解有关 Black Duck 公共部门解决方案的更多信息

让我们帮助您驾驭复杂的合规环境

无论是在开发之前、期间还是之后，Black Duck 都能帮助您验证和维护合规性。

许多 Black Duck 员工正在或曾担任与软件质量和安全标准、政策和监管指南以及开源社区计划相关的委员会、工作组、计划和项目的主题专家。

查看标准和政策协作

查看开源社区计划

一起讨论吧