Synopsys, Inc. kondigt de beschikbaarheid aan van Black Duck® Supply Chain Edition, een nieuw SCA-aanbod (Software Composition Analysis) waarmee organisaties upstream risico's in hun softwareleveringsketens kunnen beperken. Black Duck Supply Chain Edition combineert meerdere open source detectietechnologieën, geautomatiseerde analyse van software bill of materials (SBOM) van derden en detectie van malware om een uitgebreid overzicht te bieden van softwarerisico's die afkomstig zijn van open source, code van derden en AI-gegenereerde code. Ontwikkelings- en beveiligingsteams kunnen hun afhankelijkheden tijdens de gehele levenscyclus van applicaties volgen om beveiligingsproblemen, schadelijke pakketten en licentieovertredingen en -conflicten te identificeren en op te lossen.

Supply Chain Edition bouwt voort op de marktleidende mogelijkheden van Black Duck en levert een volledige reeks beveiligingsmogelijkheden voor de toeleveringsketen aan teams die verantwoordelijk zijn voor het bouwen van veilige toepassingen die aan de voorschriften voldoen. De belangrijkste kenmerken van Black Duck Supply Chain zijn Meerdere open source detectietechnologieën. Nauwkeurige identificatie van open source componenten in elke programmeertaal met behulp van de meest uitgebreide combinatie van software-analysetechnologieën, waaronder pakketafhankelijkheid, CodePrint, snippet, binair en containeranalyse.

Importeren en analyseren van SBOM's van derden. Importeer SBOM's van softwareleveranciers van derden en catalogiseer automatisch de open source, commerciële en aangepaste componenten die ze bevatten. Malwaredetectie (met technologie van ReversingLabs).

Voer post-build analyses uit om de aanwezigheid van malware te detecteren, zoals verdachte bestanden, potentieel ongewenste toepassingen, protest-ware en verdachte bestandsstructuren. Risico's identificeren en beperken. Voortdurend controleren op open source kwetsbaarheden, blootgelegde geheimen, malware en kwaadaardige pakketten in zowel de gegenereerde als de geïmporteerde SBOM's.

Beheer van IP-risico's en naleving van licenties. Identificeer automatisch softwarelicenties die gekoppeld zijn aan afhankelijkheden en ontvang advies over verplichtingen of conflicten met de manier waarop de applicatie gelicentieerd, ingezet en gedistribueerd is. Analyseer door AI gegenereerde code om verborgen open source fragmenten te identificeren waarop auteursrechten of licentieverplichtingen van toepassing kunnen zijn.

Industriestandaard SBOM's. Exporteer SBOM's met alle open source, aangepaste en commerciële afhankelijkheden, in SPDX- of CycloneDX-indelingen, om te voldoen aan de eisen van de klant, industrie of regelgeving. Maak gebruik van kant-en-klare sjablonen om te voldoen aan het juiste niveau van delen van details, zoals gespecificeerd door downstream klanten. Black Duck Supply Chain Edition zal algemeen beschikbaar zijn op 25 april 2024 en 6-9 mei 2024 worden getoond op de RSA Conference in San Francisco bij de Synopsys Software Integrity Group stand, #1027.