新思科技 Black Duck

新思科技 Black Duck

新思科技的Black Duck是一款集成了开源治理解决方案、旨在帮助用户在软件开发过程中实现自动化和风险管理的产品。该产品允许用户预先定义开源使用、安全风险和许可证合规策略，并使用开发人员已经使用的工具在软件开发生命周期内自动执行。此外，Black Duck还提供了对关键漏洞数据的分析，根据严重性、可用解决方案、可利用性、CWE来确定漏洞的优先级并进行修复。帮助用户更好地利用开源的优势，同时降低风险。

产品功能

旨在帮助组织了解和管理其软件供应链中的风险

多因子开源组件识别

知识库包含超过450万个组件，通过依赖分析、码纹分析、二进制分析、代码片段分析等来全面识别应用程序或容器的组成。

软件物料清单（SBOM）

支持导出符合 NTIA 标准的 SBOM，支持用户持续监控软件是否存在新披露的威胁和有问题的组件。

自定义漏洞风险评分

支持根据漏洞对用户资产的影响程度来定义漏洞风险分数。

策略管理

支持基于客户的需求自定义制定安全策略

产品优势

产品优势

2000+个开源许可证

知识库包含超过 2,750 个独特的开源许可证（GPL、LGPL、Apache 等）

20万+个独特漏洞

跟踪超过 208,000 个独特漏洞，影响超过 426,000 个组件版本，其中包括国家漏洞数据库 (NVD) 或其他来源中未包含的数千个 Black Duck 独有漏洞

630万+个开源项目

对超过 630 万个独特的开源项目进行了编目，可以高度准确地匹配构成软件的组件，包括修改后的代码和开源代码片段

20+种开发语言

支持C、C++、C#、Java、Python、PHP、Golang、JavaScript等27种开发语言