Black Duck

Black Duck – постачальник рішень для безпеки застосунків, який зосереджується на захисті програмного забезпечення на всіх етапах його життєвого циклу, приділяючи особливу увагу управлінню ризиками відкритого коду. Компанія пропонує розширені можливості статичного, динамічного та інтерактивного аналізу, що дають змогу виявляти вразливості, помилки конфігурації та дефекти коду ще під час розробки, до того як вони потраплять у продуктивні системи. Інтегруючись з інструментами розробників, системами складання та DevOps-процесами, Black Duck допомагає організаціям підвищувати якість і безпечність програмного забезпечення, зменшувати операційні та юридичні ризики та забезпечувати довготривалу стійкість своїх застосунків.

Детальніше: https://www.blackduck.com

Опис технології

Vulnerability Management

BLACK DUCK - виявляє всі компоненти з відкритим кодом, використані в проєкті, і постійно контролює їх на наявність відомих вразливостей, порушень ліцензій та невідповідності політикам. Програмне забезпечення надає детальну карту залежностей, оцінку ризиків та автоматичні сповіщення, що дозволяє усувати проблеми безпеки та юридичні ризики до випуску. Інтеграція з CI/CD-конвеєрами забезпечує сканування версій коду в режимі реального часу та автоматичне дотримання корпоративних стандартів.

COVERITY - проводить детальний статичний аналіз вихідного коду для виявлення дефектів, які можуть призвести до вразливостей безпеки, проблем із надійністю або зниження продуктивності. Інтегруючись із сучасними інструментами розробки та CI/CD-конвеєрами, рішення надає розробникам точні та контекстно насичені результати безпосередньо в робочих процесах, скорочує час усунення помилок, пріоритизуючи їх за рівнем критичності, можливістю експлуатації та впливом на код.

DEFENSICS - оцінює стійкість систем і додатків шляхом автоматичного створення некоректних, несподіваних або таких, що порушують протоколи, даних для виявлення прихованих вразливостей. Механізм тестування на нечіткі дані імітує реальні сценарії атак та аномальну поведінку, перевіряючи, як додатки обробляють помилки та граничні умови. Платформа дозволяє організаціям підвищити надійність, виявляючи потенційні збої, проблеми з пам’яттю та логічні помилки ще до впровадження.

POLARIS - об’єднує різні інструменти тестування безпеки додатків у єдине середовище. Рішення дозволяє командам розробників виконувати статичний аналіз коду, перевірку компонентів відкритого коду, тестування на нечітких даних та інші перевірки за допомогою єдиного інтерфейсу, що інтегрується з DevOps та CI/CD-конвеєрами. Платформа спрощує координацію процесів тестування безпеки між командами та забезпечує централізовану звітність і управління політиками.

SEEKER - здійснює виявлення вразливостей в режимі реального часу виконання додатків за допомогою технології IAST. Рішення аналізує поведінку додатка під час роботи, потоки даних та взаємодію користувачів, щоб точно визначати потенційно небезпечні слабкі місця з мінімальною кількістю помилкових спрацьовувань. Корелюючи результати з бізнес-контекстом, воно допомагає командам пріоритизувати усунення вразливостей і забезпечувати безпеку сучасних веб-додатків.

WHITEHAT - забезпечує динамічний аналіз для виявлення вразливостей у працюючих веб- та мобільних додатках. Інструмент виявляє проблеми, серед яких уразливості, пов’язані з впровадженням стороннього коду, слабкі механізми автентифікації та некоректні налаштування, які можуть залишатися непоміченими під час статичного аналізу. Додатки оцінюються в реальних умовах, що дозволяє організаціям підвищувати рівень безпеки в середовищах, наближених до виробничих.

Корисні файли