LSware

솔루션

풍부한 기술력과 고객의 신뢰를 바탕으로 정보보보호 분야의 선두자가 되겠습니다.

Black Duck

블랙덕 로고

소프트웨어 구성요소 분석 솔루션 (SCA)

Black Duck은 소프트웨어 구성요소를 분석하여 오픈소스 라이선스 및 보안취약점을 식별하는 솔루션(Software Composition Analysis,SCA)으로, 소프트웨어에 사용된 오픈소스 컴포넌트, 버전, 라이선스, 보안취약점, 써드파티 소프트웨어 등에 대한 SBOM을 가시성 있게 제공하며, 기존 SDLC 연동을 통한 자동화된 오픈소스 위험관리 환경을 제공합니다.

주요기능

  • 탐색
    탐색
    (Detect)
    • 앱 및 컨테이너의 모든 오픈소스 식별 및 추적
  • 보호
    보호
    (Protect)
    • 개발 및 프로덕션에서 알려진 오픈소스 취약점을 찾아 수정 지원
  • 준수
    준수
    (Comply)
    • 오픈소스 라이선스 전문 확인 및 조건 준수 지원
  • 관리
    관리
    (Manage)
    • 오픈소스 위험관리 정책 적용 및 자동화 지원

Black Duck은 2,750여개의 라이선스와 157,000여개의 오픈소스 취약점 및
1.25PB에 이르는 방대한 Knowledge Base를 기반으로 완전한 오픈소스의 위험 관리를 지원합니다.

특장점

소프트웨어 구성요소 분석
오픈소스 컴포넌트, 라이선스 및 보안취약점 분석 및 조치방안 제공
애플리케이션 및 컨테이너 분석
애플리케이션 소스코드 및 컨테이너 분석
바이너리 분석
네이티브, Java, .NET, Go 바이너리 분석
스니펫 분석
코드 일부를 복제한 스니펫 분석
압축/아카이브 분석
zip, jar 등 압축 및 아카이브 분석
의존성 분석
의존성 및 전이의존성 분석
코드 프린트 분석
100% 매칭 뿐만 아니라 수정된 코드도 분석
상용 컴포넌트 분석
상용 라이브러리 분석
설치 패키지 분석
RPM, DEB 등 설치 프로그램 분석
펌웨어 분석
Intel HEX, SREC, U-Boot 등 펌웨어 분석
파일시스템/디스크 이미지 분석
ISO 9660, ext2/3/4, FreeBSD UFS 등 분석
강화된 보안취약점 정보 제공
NVD CVE 정보 및 자체 취약점 데이터인 BDSA(Black Duck Security Advisories) 제공
신규 취약점 모니터링
신규로 발생한 취약점 모니터링 및 알람
라이선스 상세 정보 제공
라이선스 전문, 의무사항 등 상세 정보 제공
라이선스 양립성 분석
오픈소스 라이선스 간 양립성 분석
다중 라이선스 분석
하나 이상의 다중 라이선스 분석
운영 리스크 제공
오픈소스 컴포넌트에 대한 운영 심각도 정보 제공
기존 SDLC 통합
IDE, Package Manager, Build&CI, Binary Repository, Workflow&Notifications, Vulnerability Management, Production 연동 지원
자동 정책 설정
오픈소스 위험관리 정책 설정 및 자동화 지원
동시 스캔
동시 스캔 지원
오프라인 스캔
폐쇄망 환경 점검 지원
다양한 플랫폼 지원
서버: 리눅스 / 클라이언트: 윈도우, 맥, 리눅스
다양한 보고서 지원
SPDX 기반 SBOM(Software Bill of Materials), CycloneDX 등 다양한 포맷 지원

구성도

구성도

Multifactor 분석 방식을 통한 오픈소스 탐지

의존성 분석
의존성 분석
  • 선언된 컴포넌트와 빌드된 의존성들을 추적
코드 프린트 분석
코드 프린트 분석
  • 선언되지 않은, 수정된, 그리고 일부분의 오픈소스를 검출하기 위해 파일/디렉토리 메타데이터 & SHA 파일 시그니처 분석
코드조각 매치
코드조각 매치
  • 잠재된 저작권 및 라이선스 의무 사항을 포함하는 오픈소스 코드 조각 식별
바이너리 분석
바이너리 분석
  • 소스코드 접근없이 컴파일된 소프트웨어, 펌웨어 혹은 설치 프로그램 등을 분석
커스텀 컴포넌트 발견
커스텀 컴포넌트 발견
  • 문자열 검색과 코드 프린트로 오픈소스가 아닌 내부 혹은 써드파티 상업용 컴포넌트 식별

End to End DevOps 통합으로 자동화 구현

자동화 구현 설명