您的產品仰賴開源軟體嗎?這些不可見的組件,正為您的企業帶來巨大的安全和法律風險。如果您無法立即回答以下三個問題,您的企業可能正暴露於風險之中:
您的軟體安全盲點是什麼?
- 您的軟體中「到底」包含了哪些開源元件?(軟體組成透明度)
- 這些元件是否有已知的漏洞 (CVE)?(安全漏洞管理)
- 您使用的開源 License 是否與您的產品法律合規?(License 風險)
Black Duck SCA 功能與優勢
Black Duck SCA(Software Composition Analysis):幫助企業有效管理其應用程式中使用的第三方和開源套件所帶來的安全與授權風險。
目前在商業應用程式開發中,程式碼多數來自於非自寫的開源與第三方程式碼所構成。這導致企業面臨一個核心難題:軟體組成的高度不可見性,從而無法掌控其內含的潛在漏洞與授權風險。Black Duck SCA 透過多重相依性檢測技術,為開發團隊重建應用程式組成元素的透明度。它將所有外來組件精準地列出並分析,使開發團隊得以對風險進行有效的評估與管理。
主要功能
- 掃描應用程式的 Open Source 元件、函式庫、依賴項(Dependencies)。
-
建立 SBOM(Software Bill of Materials)。
Black Duck SCA 可在數分鐘內建立完整的 SBOM - 檢測開源套件中的已知漏洞 ( CVE )。
- 分析 License 合規性(GPL、MIT、Apache…等授權條款)。
- 提供漏洞修補建議或替代元件。
- 持續監控新公布的漏洞(與美國國家漏洞資料庫 NVD / 自家 Knowledgebase(Black Duck Security Advisories,由 Black Duck 專有的網絡安全研究中心提供連動)。
適用情境
- 開發團隊使用大量開源套件。
- 企業需要符合安全與授權合規。
- 想快速產生 SBOM 供內外部稽核。
五大技術核心與導入架構
Black Duck 掃描檢測技術
-
相依性分析(Dependency Analysis)
- (1)功能:從建構工具(如 Maven、npm、Gradle 等)中追蹤並解析專案中宣告的開源相依套件。
- (2)用途:快速掌握「已知」開源套件與其版本,建立第一層開源清單。
-
代碼特徵分析(Signature Analysis)
- (1)功能:透過程式碼的雜湊值(SHA1 簽章)比對,找出實際包含的開源程式碼。
- (2)用途:即使開源程式被修改或沒在相依清單裡,也能被辨識出來。
-
片段匹配(Snippet Matching)
- (1)功能:偵測被嵌入或複製進原始碼的開源片段。
- (2)用途:找出「拷貝貼上」的開源程式碼,避免授權風險。
-
二進位制檔案分析(Binary Analysis)
- (1)功能:分析已編譯的執行檔(如 .jar、.dll、.so、.exe),識別裡面包含的開源元件。
- (2)用途:適合沒有原始碼的第三方軟體或客戶交付物。
-
客制組成偵測(Custom Component Detection)
- (1)功能:利用字串搜尋與代碼指紋技術,找出內部自製程式碼或第三方商業程式碼的組成。
- (2)用途:幫助區分哪些是公司自有、哪些是外部組件。
開源套件管理 4 步驟
- 檢測(SBOM):將專案中使用到的開源套件檢出並建立清單。
- 修復(Remediation):在開發初期發現開源套件存在的弱點及授權風險並提供修正建議。
- 管理(Policy Management):定義開源套件的使用政策及安全等級規範。
-
監控(Continuous Monitoring):透過快速跟進的雲端智庫獲取即時且與專案有關的弱點發布資訊。
Black Duck SCA 專案風險儀表板
Black Duck 被 Forrester 等權威機構評為 SCA 領域的領導者,憑藉其最龐大的開源知識庫(包含超過 2,750 種授權)、專有的 BDSA 漏洞資訊以及多因素檢測技術,為企業提供了在加速創新同時,確保軟體安全與合規所需的關鍵工具。
彈性佈署與知識庫支援
- 容器化佈署:支援雲端與地端混合環境。
Black Duck SCA 企業內部部署架構圖 - 分層網路設計:
- Build Server:進行掃描與編譯
- DMZ VLAN:主應用伺服器與資料庫隔離
- Internal VLAN:開發與建置環境
- OA VLAN:提供使用者介面與報告查閱
- Black Duck Knowledge Base:
- (1)每週更新 OSS project
- (2)每小時更新安全漏洞資訊
Black Duck 的客戶不只將它用於日常開發,更用於併購(M&A)盡職調查及供應鏈軟體風險評估等關鍵情境,確保交易順利與產品安全。
延伸閱讀: