2024數位應用週 智慧臺灣 永續新生活

Black Duck是針對開源應用程式、容器(Container)、基礎架構程式碼(IaC)進行安全管理、授權合規以及程式碼品質風險的全面性解決方案。在Forrester的評比之中，Black Duck是軟體組成分析(SCA)領域的最佳選擇，在第三方程式碼透明度方面，它可以為您提供無與倫比的服務，讓您在整個應用程式生命週期中，管控程式碼供應鏈裡的所有第三方程式碼。

獲得更深入、更精簡的分析 Black Duck可以辨識更多的開源資源、具有更佳的準確度、使用獨有的多因素偵測技術， 產生並驗證完整的BOM，藉此追蹤公開元件、獨有檔案雜湊簽名、已經在建置(Build)過程中解決的相依性以及開源程式碼片段。Black Duck利用有效的方式應用掃描方法，為您 的整個SDLC的每一個階段提供安全性與合規性。這包含了在整合開發環境(IDE)中的快速 掃描、與CI/CD以及二進位檔案庫的整合，藉此在建置與建置後階段中進行更加深入的分析。

迅速尋找並修復弱點 Black Duck對於開源程式碼風險的深層理解結合了引用公開來源的資料(如NVD)以及 Synopsys電腦安全研究中心(CyRC)獨有的詳盡分析。您可以在NVD公布新弱點資訊的數 周以前得到通知(減少您的暴露空窗期)，並獲得來自於我們獨有的弱點加強資訊與Black Duck安全建議(BDSA)的幫助，其中包括以下功能：
．關鍵風險指標、針對弱點的技術洞察力、漏洞利用細節以及衝擊分析
．CVSS 2與CVSS 3評分，以及CWE分類資料
．通用攻擊模式列舉與分類(CAPEC)
．來自於NVD以外來源的暫時性評分
．元件層級的升級與補救指南、緩解因素與補償控制
．確認應用程式是否呼叫含有弱點的程式碼的弱點衝擊分析
．符合您的公司的風險概況的自訂弱點風險評分
．弱點會依據其修補方式進行優先排序，其考量範圍涵蓋了多重性關鍵性資料點，其中包含嚴重性、解決方案可用性、漏洞的可利用性、CWE以及可達性

自動執行安全與使用方針Black Duck會依據一系列完整的標準來設定您的開源資源安全與使用方針，其中包括授權 類型、弱點嚴重性、開源元件版本等等。Black Duck會利用自動化的工作流程觸發程式、 通知以及與Jira之間的雙向整合來執行方針，藉此提升補救的啟動與回報的速度。

辨識開源程式碼風險(可在不存取原始碼的狀況下進行) 若您採用Black Duck作為您的工具，您就可以迅速而輕鬆地分析由供應商提供的二進位檔案，辨識您的軟體供應鏈中的弱點相關性，而且不需要直接存取您的原始碼。您可以在採購與使用任何技術之前，獲得更加深入而易於應用的風險指標，讓您在實際遭受風險 威脅以前，在擁有更多資訊的狀況下作出決策。Black Duck的智慧掃描可以自動確認目標 軟體是原始來源或經過編譯的檔案，然後辨識所有第三方軟體元件、相關認證與影響您的應用程式的已知弱點，並為其進行並分類。

Synopsys Coverity綜合靜態分析與應用安全測試(SAST)平台能識別潛在的安全風險、程式錯誤、效能問題和可維護性問題。

Coverity是一種靜態程式碼分析工具，旨在幫助軟體開發人員識別和解決應用程式中的安全漏洞和程式錯誤。它使用靜態分析技術，對應用程式的原始程式碼進行分析，以檢測潛在的安全風險、效能問題和可維護性問題等。
Coverity利用精確和有效的修復指南，基於專利技術以及對100 億行專用和開源程式碼的十年研發和分析經驗，可以識別出開發期間的關鍵質量錯誤和潛在安全漏洞，有助於降低風險和整體項目成本。

深入和精確的分析
．Coverity可以無縫集成任何構建系統，生成源代碼的高保真度說明和注釋，以確保深入理解其行為。
．Coverity可以提供完整的路徑覆蓋範圍，確保每一行代碼和每一條潛在的執行路徑經過測試。它可以利用多種專利技術，確保深入、精確的分析。
．通過深入理解源代碼和底層框架，Coverity平台可以提供高度精確的分析結果，使開發人員不再浪費時 間管理大量的誤報結果。這會幫助他們有效確保開發生命週期的安全。

快速和大規模的分析 ，旨在徹底適應您的現有工作流，它具備以下功能：
．並行分析允許Coverity同時運行高達十六個內核，交付的性能比序列分析高出10倍。
．增量分析支持分析加速，只重新分析發生變動或受變動影響的代碼，而非每次分析整個代碼庫。
．Coverity可以擴展，在地理分布式環境中容納數千名開發人員，並且輕鬆分析超過1億行代碼的項目。

高效的問題管理和修復
．利用該平台的協作式問題管理界面Coverity Connect，開發人員可以訪問必要的信息，獲得精確的修復指南，工具可為他們展示修復缺陷的正確方式和修復代碼的最佳位置，無需深入的安全專業知識。
．Coverity Connect提供源代碼導航，識別通向缺陷的準確路徑，並自動識別共享代碼 之間每一次發生的缺陷。
．缺陷可以自動分配到適合的開發人員加以解決，用戶可以快速查看所有未解決的安全 問題、OWASP 10 大問題、CWE和PCI相關的問題。

軟件開發生命週期 (SDLC) 集成
．Coverity平台可以快速集成所使用的關鍵工具和系統，從而支持開發流程(例如源代 碼控制管理、構建和持續集成、錯誤跟蹤、集成開發環境 (IDE) 和應用生命週期管理 (ALM) 解決方案)。
．Coverity是一款開放式平台，允許開發人員將第三方分析結果導入工作流，利用軟體缺陷和風險單一視圖查看和管理所有類型的缺陷。

促進應用和緩解風險
．Coverity Policy Manager幫助企業定義和強制實施始終如一的標準，支持各個開發團隊的代碼安全、質量和測試。它可以全面觀察團隊、項目或組件是否符合這些標准，並基於缺陷和測試相關預定義標準，創建可以衡量的階段關卡。Coverity Policy Manager 的定制化視圖可以選擇開發指標和閾值，從而與具體目標保持一致。

擴展漏洞檢測
．Coverity Extend是一種易用的軟件開發包(SDK)，允許開發人員檢測獨有的缺陷類型。這個 SDK 是為編寫程序分析器或檢查器提供的一個框架，幫助他們識別自定義 或特定領域的缺陷。定制化檢查器還有助於滿足企業安全要求和行業標準或指導方針 的合規要求。

Code Dx讓您可以在您的組織內部，在整個系統發展生命週期(SDLC)之中利用應用程式安全程序自動化的方式來進行開發維運(DevOps)。我們的平台自動地判斷要大規模執行的相關測試(例如：靜態應用程式安全測試(Static Application Security Testing)、動態應用程式安全測試(DAST)、軟體成分分析(SCA)等)。接下來，它就會利用來自上千種不同AppSec (應用程式安全)工具的關聯結果，自動地為您最容易被利用的弱點進行優先排序。因此，您就可以從一個中心化的樞紐，完整地掌握您所屬的組織的整個軟體組合的風險可視性。

執行測試
．透過中心化控制台自動地設定組態，並且運作您的AppSec工具
．在您的程式碼庫裡，自動從可用的工具中，選擇最佳的AppSec工具
．支援超過70種最常用的SCA、 SAST、 DAST以及IAST工具
． 配合DevOps的步調進行整合與擴張
– 與外部工具Jira、 Jenkins、 Visual Studio、 Eclipse以及其他問題追蹤工具彼此整合
– 利用高效能計算叢集，實現超高速的關聯性運算與弱點優先排序
． 將資訊輸入記錄系統，並且追蹤所有AppSec測試活動

自動優先排序
．透過Code Dx AppSec Correlation Engine，自動識別弱點問題並給予評分
．利用機器學習分類助手，辨識哪一個弱點最為關鍵，並為其提供補救建議
．依據NIST、 PCI、 HIPAA、 DISA、 OWASP Top 10等合規標準，進行優先排序
．自動向開發者的問題追蹤工具(例如Jira) 提供高優先性弱點資訊，以便加以補救
– 針對每個需要審閱的瑕疵，準確地連結至其程式碼所在位置

風險可視性
．針對各種應用程式的風險提供360度的視角：自訂程式碼、第三方元件、軟體所在網路環境
．為您的第三方軟體、自訂程式碼以及即時部署辨識弱點風險
．在程式碼正式發布以前，為您的程式碼提供關聯性風險評分
．在每一個程式的整個生命週期之中，為其所有AppSec測試與補救措施維護記錄系統
．涵蓋三種攻擊表面：自訂程式碼、第三方、網路