Suche und Beseitigung von Open-Source-Sicherheitslücken
Black Duck Hub hilft Sicherheits- und Entwicklungsteams bei der Identifizierung und Beseitigung von Open-Source-Risiken für das gesamte Anwendungsportfolio.
Black Duck Hub dient folgenden Zwecken:
- Scannen von Code zur Identifikation von spezifischen verwendeten Open-Source-Komponenten
- Automatische Zuordnung bekannter Sicherheitslücken zu verwendeten Open-Source-Komponenten
- Selektierung – Risikobewertung und Priorisierung von Sicherheitslücken
- Planung und Verfolgung der Problembehebung
- Identifikation von Lizenzen und Community-Aktivitäten
Andere statische Analyselösungen konzentrieren sich meist auf die Aufdeckung von codebedingten Sicherheitslücken, die Entwickler beim Schreiben des Codes einfügen. Diese Lösungen erfassen jedoch nur einen geringfügigen Anteil der im Laufe der Zeit festgestellten Sicherheitslücken. Schwachstellen wie Heartbleed, Shellshock, Poodle oder Ghost haben uns gezeigt, wie sehr beliebte Open-Source-Komponenten zur Verwundbarkeit beitragen können. Diese öffentlich heiß diskutierten Sicherheitslücken stellen jedoch nur einen verschwindend geringen Anteil der über 4.000 Open-Source-Sicherheitslücken dar, die jedes Jahr gemeldet werden.
Nur mit Black Duck erhalten Sie Folgendes:
- Umfassende Abdeckung von Programmiersprachen und Integration von Entwicklungstools
- Branchenweit umfassendste Datenbank zu Open-Source-Software: KnowledgeBase
- Integrierte Verfolgung und Verwaltung von Problembehebungen
SICHERHEIT BEGINNT MIT TRANSPARENZ
Die Gewährleistung eines transparenten Überblicks über die verwendeten Open-Source-Komponenten in Ihrer Codebasis ist der erste Schritt zur sicheren Open-Source-Nutzung. Einen transparenten Überblick zu haben heißt, dass Sie nicht nur genau wissen, welche Open-Source-Bibliotheken im Einsatz sind, sondern auch wo und wie diese verwendet werden. Black Duck Hub scannt Ihren Code kontinuierlich und erfasst so spezifische Open-Source-Bibliotheken und -Versionen. Dank regelmäßiger Updates aus der US-amerikanischen National Vulnerability Database (NVD) sowie aus VulnDB, einer umfassenderen und aktuelleren Datenbank für Sicherheitslücken, kann die Black Duck KnowledgeBase™ Open-Source-Bibliotheken wichtigen Metadaten bezüglich Sicherheitslücken, Lizenzen, Community-Aktivitäten und Versionen zuordnen.
Mit Black Duck Hub werden Ihre Projekte kontinuierlich auf neu eingefügte Open-Source-Komponenten untersucht, sodass Sie Sicherheitslücken beheben können, bevor diese zum Problem werden. Sie erhaltenzudem die Möglichkeit, Sicherheitslücken zu prüfen und zu priorisieren, Daten für Gegenmaßnahmen festzulegen und die Behebung zu verfolgen. Black Duck Hub sucht automatisch nach neuen Sicherheitslücken und meldet und vergleicht diese später mit den Open-Source-Bibliotheken, die in Ihren Anwendungen eingesetzt werden. So können Sie schnell auf neue Schwachstellen reagieren.
HAUPTFUNKTIONEN VON BLACK DUCK HUB
SCHNELLES SCANNEN UND ERKENNEN |
Sie müssen Ihren Code kennen. Mit der automatischen Scanfunktion von Hub werden Open-Source-Komponenten in Ihren Anwendungen und Containern erfasst und inventarisiert, auch Komponenten, die in den Paketdateien nicht angegeben wurden. |
BUILD-TOOL-INTEGRATIONEN |
Mit dem Jenkins-Plug-in können Sie Hub in Ihre Umgebung für kontinuierliche Integration einbinden. So können Sie die Scans, die Identifikation und die Erstellung einer Open-Source-Stückliste automatisieren. |
ANPASSBARE STÜCKLISTE |
Mit einer bearbeitbaren Stückliste für Open-Source-Software behalten Sie den Überblick. In dieser Liste werden die Ergebnisse der automatischen Scans, der Build-Tool- und Paketverwaltungsangaben sowie manuelle Einträge zentral zusammengefasst. |
UMFASSENDE OPEN-SOURCE-DATENBANK |
Mit der Black Duck KnowledgeBase™, der weltweit umfassendsten Datenbank mit einer siebenstelligen Zahl an Open-Source-Projekten, können Sie korrekte Informationen abrufen und Sicherheitslücken zuverlässig identifizieren und verwendeten Open-Source-Komponenten in Ihren Projekten in Echtzeit zuordnen. |
AUTOMATISCHE SICHERHEITS-LÜCKENZUORDNUNG UND WARNMELDUNGEN |
Sie können bekannte Sicherheitslücken, die sich in der in Ihren Anwendungen eingesetzten Open-Source-Software befinden, identifizieren und erhalten Warnmeldungen, sobald neue Sicherheitslücken bekannt werden, die Sie betreffen. Mit dem VulnDB-Add-on erhalten Sie Zugriff auf mehr Sicherheitslücken und frühere Warnmeldungen. |
SUCHWERKZEUGE FÜR SICHERHEITSLÜCKEN |
Sie können anhand von CVE-Nummer, Sicherheitslücken-ID oder Name in zahlreichen Quellen, wie zum Beispiel der US-amerikanischen National Vulnerability Database (NVD) und VulnDB, nach Sicherheitslücken suchen. Sie können detailliertere Informationen über die Sicherheitslücken abrufen, um genauere Risikoanalysen zu erstellen, betroffene interne Projektversionen zu identifizieren, Quelldateien zu orten und den Fortschritt der Problembehebung zu verfolgen. |
VERFOLGUNG DER PROBLEMBEHEBUNG |
Sie können geplante und tatsächliche Fortschritte bei der Behebung von Sicherheitslücken in einzelnen Projekten verfolgen. Problembehebungsberichte können dank der CSV-Exportfunktion problemlos in Drittanbietersoftware importiert werden. |
RICHTLINIENVERWALTUNG |
Sie können Richtlinien für Open-Source-Projekte, Lizenztypen und akzeptable Sicherheitslücken festlegen. Sie werden schnell über Verstöße gegen die Richtlinien informiert und können Ausnahmen für bestimmte Projekte und Komponenten festlegen. |
RISIKO-DASHBOARDS UND -BERICHTE |
Dank einfach verständlicher Dashboards und Berichte zu Sicherheit, Lizenzen, Risiken der Community-Aktivitäten und Fortschritten bei der Fehlerbehebung können Sie Risiken in einzelnen bzw. allen Projekten analysieren. |
INTEGRATION MIT IBM APPSCAN ENTERPRISE |
Wenn Sie Black Duck Hub und IBM AppScan gemeinsam verwenden, können Sie Sicherheitsrisiken für Open-Source-Code und selbst erstellten Code auf einem einzigen Dashboard anzeigen und verwalten. |
ÜBER BLACK DUCK SOFTWARE
Organisationen auf der ganzen Welt verwenden die branchenführenden Produkte von Black Duck Software und automatisieren so Sicherung und Verwaltung von Open-Source-Software. Durch diese Automatisierung gehören komplizierte Verfahren bezüglich Sicherheitslücken, Einhaltung von Open-Source-Lizenzanforderungen und Betriebsrisiken der Vergangenheit an. Black Duck hat seinen Firmensitz in Burlington in den USA sowie Zweigstellen in San Jose in Kalifornien, in London, Frankfurt, Hongkong, Tokio, Seoul und Peking.
CCP ist Ihr Ansprechpartner für die Lizenzierung
Wir als CCP haben uns auf intelligente Softwarelizenzierung spezialisiert und unterstützen Sie bei sämtlichen Fragen rund um das Thema Open Source. Als Partner namhafter Open Source Hersteller wie SUSE und Red Hat überzeugen wir durch unsere langjährige Projekterfahrung und Beratung von Enterprise-Kunden beim Abschluss individueller Rahmenverträge.
Sollten Sie Interesse an Black Duck Software haben oder noch weitere Fragen offen sein, dann kontaktieren Sie uns – wir beraten Sie gerne.