Synopsys, Inc. hat die Verfügbarkeit der Black Duck® Supply Chain Edition bekannt gegeben, ein neues Angebot zur Analyse der Softwarezusammensetzung (Software Composition Analysis, SCA), das es Unternehmen ermöglicht, das Risiko in ihren Software-Lieferketten zu minimieren. Die Black Duck Supply Chain Edition kombiniert mehrere Open-Source-Erkennungstechnologien, automatisierte Software-Bill-of-Materials (SBOM)-Analysen von Drittanbietern und Malware-Erkennung, um einen umfassenden Überblick über Software-Risiken zu erhalten, die von Open-Source-, Drittanbieter- und KI-generiertem Code ausgehen. Entwicklungs- und Sicherheitsteams können ihre Abhängigkeiten über den gesamten Anwendungslebenszyklus hinweg verfolgen, um Sicherheitslücken, bösartige Pakete sowie Lizenzverletzungen und -konflikte zu erkennen und zu beheben.

Die Supply Chain Edition baut auf den marktführenden Fähigkeiten von Black Duck auf und bietet Teams, die für die Entwicklung sicherer, konformer Anwendungen verantwortlich sind, eine umfassende Palette an Sicherheitsfunktionen für die Lieferkette. Zu den wichtigsten Funktionen von Black Duck Supply Chain gehören: Mehrere Open-Source-Erkennungstechnologien. Präzise Identifizierung von Open-Source-Komponenten in jeder Programmiersprache mit der umfassendsten Kombination von Software-Analysetechnologien, einschließlich Paketabhängigkeit, CodePrint?, Snippet-, Binär- und Container-Analyse.

Import und Analyse von SBOMs von Drittanbietern. Importieren Sie SBOMs von Drittanbietern und katalogisieren Sie automatisch die darin enthaltenen Open Source-, kommerziellen und benutzerdefinierten Komponenten. Erkennung von Malware (mit der Technologie von ReversingLabs).

Führen Sie Post-Build-Analysen durch, um das Vorhandensein von Malware zu erkennen, z. B. verdächtige Dateien, potenziell unerwünschte Anwendungen, Protest-Software und verdächtige Dateistrukturen. Identifizierung und Minderung von Risiken. Kontinuierliche Überwachung auf Open-Source-Schwachstellen, offengelegte Geheimnisse, Malware und bösartige Pakete sowohl bei der Erstellung von SBOMs als auch beim Import.

Verwaltung von IP-Risiken und Lizenzkonformität. Identifizieren Sie automatisch Softwarelizenzen, die mit Abhängigkeiten verbunden sind, und erhalten Sie Hinweise auf Verpflichtungen oder Konflikte mit der Art und Weise, wie die Anwendung lizenziert, bereitgestellt und verteilt wird. Analysieren Sie KI-generierten Code, um versteckte Open-Source-Snippets zu identifizieren, die möglicherweise Urheberrechts- oder Lizenzverpflichtungen unterliegen.

Industrie-Standard-SBOMs. Exportieren Sie SBOMs mit allen Open-Source-, benutzerdefinierten und kommerziellen Abhängigkeiten im SPDX- oder CycloneDX-Format, um sie an Kunden-, Branchen- oder gesetzliche Anforderungen anzupassen. Nutzen Sie die Standardvorlagen, um den von Ihren Kunden gewünschten Detaillierungsgrad der gemeinsamen Nutzung zu erreichen. Die Black Duck Supply Chain Edition ist ab dem 25. April 2024 allgemein verfügbar und wird vom 6. bis 9. Mai 2024 auf der RSA Conference in San Francisco am Stand Nr. 1027 der Synopsys Software Integrity Group vorgestellt.