Black Duck
소프트웨어 구성요소 분석 솔루션(SCA)
Black Duck
Black Duck은 소프트웨어 구성요소를 분석하여 오픈소스 라이선스 및
보안취약점을 식별하는 솔루션(Software Composition Analysis,SCA)입니다.
소프트웨어에 사용된 오픈소스 컴포넌트, 버전, 라이선스, 보안취약점, 써드파티 소프트웨어 등에 대한
SBOM을 가시성 있게 제공하며, 기존 SDLC 연동을 통한 자동화된 오픈소스 위험관리 환경을 제공합니다.
주요 기능
Black Duck은 2,750여개의 라이선스와 247,000여개의 오픈소스 취약점 및
1.5PB에 이르는 방대한 Knowledge Base를 기반으로 완전한 오픈소스의 위험 관리를 지원합니다.
-
탐색
- 앱과 컨테이너의 모든 오픈소스 식별 및 추적
-
보호
- 개발 및 프로덕션에서 알려진 오픈소스 취약점을 찾아 수정 지원
-
준수
- 오픈소스 라이선스 전문 확인 및 조건 준수 지원
-
관리
- 오픈소스 위험관리 정책 적용 및 자동화 지원
구성도
특장점
-
소프트웨어 구성요소 분석
오픈소스 컴포넌트, 라이선스, 보안취약점 분석 및 조치방안 제공
-
어플리케이션 및 컨테이너 분석
애플리케이션 소스코드와 컨테이너 분석
-
바이너리 분석
네이티브, Java, .NET, Go 바이너리 분석
-
스니펫 분석
코드 일부를 복제한 스니펫 분석
-
압축 · 아카이브 분석
zip, jar 등 압축 및 아카이브 분석
-
의존성 분석
의존성 및 전이의존성 분석
-
코드 프린트 분석
100% 매칭 뿐만 아니라 수정된 코드도 분석
-
상용 컴포넌트 분석
상용 라이브러리 분석
-
설치 패키지 분석
RPM, DEB 등 설치 프로그램 분석
-
펌웨어 분석
Intel HEX, SREC, U-Boot 등 펌웨어 분석
-
파일시스템/디스크 이미지 분석
ISO 9660, ext2/3/4, FreeBSD UFS 등 분석
-
강화된 보안취약점 정보 제공
NVD CVE 정보 및 자체 취약점 데이터인 BDSA(Black Duck Security Advisories) 제공
-
신규 취약점 모니터링
신규로 발생한 취약점 모니터링 및 알람
-
라이선스 상세 정보 제공
라이선스 전문, 의무사항 등 상세 정보 제공
-
라이선스 양립성 분석
오픈소스 라이선스 간 양립성 분석
-
다중 라이선스 분석
하나 이상의 다중 라이선스 분석
-
운영 리스크 제공
오픈소스 컴포넌트에 대한 운영 심각도 정보 제공
-
기존 SDLC 통합
IDE, Package Manager, Build&CI, Binary Repository, Workflow&Notifications, Vulnerability Management, Production 연동 지원
-
자동 정책 설정
오픈소스 위험관리 정책 설정 및 자동화 지원
-
동시 스캔
동시 스캔 지원
-
오프라인 스캔
폐쇄망 환경 점검 지원
-
다양한 플랫폼 지원
- 서버 : 리눅스
- 클라이언트: 윈도우, 맥, 리눅스
-
다양한 보고서 지원
SPDX 기반 SBOM(Software Bill of Materials), CycloneDX 등 다양한 포맷 지원
Multifactor 분석 방식을 통한 오픈소스 탐지
- 의존성 분석
-
선언된 컴포넌트와
빌드된 의존성들을 추적
- 코드 프린트 분석
-
선언되지 않은, 수정된, 그리고
일부분의 오픈소스를 검출하기 위해 파일/디렉토리 메타데이터 & SHA 파일 시그니처 분석
- 코드조각 매치
-
잠재된 저작권 및 라이선스
의무 사항을 포함하는
오픈소스 코드 조각 식별
- 바이너리 분석
-
소스코드 접근 없이 컴파일된
소프트웨어, 펌웨어 혹은
설치 프로그램 등을 분석
- 커스텀 컴포넌트 발견
-
문자열 검색과 코드 프린트로
오픈소스가 아닌 내부 혹은 써드파티 상업용 컴포넌트 식별
End to End DevOps 통합으로 자동화 구현
-
- TOP