图片来源： 新思科技

申请技术：Black Duck软件组成分析

申报领域：软件

创新点及优势

技术描述：

新思科技Black Duck® 软件组件分析 (SCA) 帮助团队管理在应用和容器中使用开源和第三方代码所带来的安全、质量和许可证合规性风险。

独特优势：

新思科技在Forrester WaveTM发布的《2021年第三季度软件组成分析》报告中被评为领导者。报告分析了10家在软件组成分析(SCA)市场最有影响力的供应商，并且根据三个高级类别中的37条标准对他们进行评估：现有产品、策略和市场占有率。在10家供应商中，新思科技Black Duck软件组成分析解决方案在“策略”类别中获得最高分，并且在“市场占有率”类别中名列第二。

• 快速发现并修复最高优先级的漏洞。Black Duck Security Advisory 可帮助您避免在开发和生产中遭到开源漏洞攻击。它们提供了确定修复漏洞优先级所需的关键数据，例如利用信息、补救指南、严重性评分和调用路径等数据。

• 将开源治理集成至 DevSecOps 并实现自动化。Black Duck 自动化策略管理允许您预先定义开源使用、安全风险和许可证合规策略，并使用开发人员已经使用的工具在软件开发生命周期 (SDLC) 内自动执行。

• 保持开源许可证合规。无论您的软件是通过 Web 交付还是嵌入硬件设备，都要务必确保开源许可证合规。通过更深入地了解许可义务和归属要求，降低知识产权的成本和风险。

应用场景：

Black Duck®软件组成分析工具可以检测目标系统开源组件中的已知漏洞。这种源代码或二进制文件的自动扫描可识别开源组件、开源组件的版本以及相关的已知漏洞。在Black Duck 的多因素开源检测和超过 400 万个组件的知识库提供适用于任何应用或容器的准确物料清单 (BoM)。

• 依赖分析：与 Maven 和 Gradle 等构建工具集成，跟踪以 Java 和 C# 等语言构建的应用中已公开和过渡性的开源依赖关系。

• 码纹分析：将字符串、文件和目录信息映射到 Black Duck 知识库，以便在使用 C 和 C++ 等语言构建的应用中识别开源和第三方组件。

• 二进制分析：识别已编译的应用库和可执行文件中的开源。无需源代码或构建系统访问权限。

• 代码片段分析：查找专有代码中复制的开源代码部分，这样复制可能会使您面临许可证违规和冲突。

汽车工业的技术变化很复杂，尤其在涉及到自动驾驶汽车时。许多汽车制造商需要将联网汽车的数据安全实践与国际法规和标准保持一致。越早做好准备，就能更好地在供应链中采取相应措施，以符合新法规和标准。

未来前景：

2021年，许多汽车行业网络安全标准出台，包括 ISO/SAE 21434、Automotive SPICE for Cybersecurity和TR-68:3。专注于开源软件安全性的OpenChain ISO 5230也已发布。此外，还有更多相关的标准正在制定，包括ISO 5112、ISO/SAE 8475及 ISO/SAE 8477等。所有这些不同的标准和技术参考为汽车行业提供指导，以制造更安全的汽车。

Black Duck等测试工具从源头上尽量规避、解决合规问题。

金辑奖介绍：

“金辑奖”由盖世发起，旨在“发现好公司·推广好技术”， 并围绕着“中国汽车新供应链百强”这个主题进行展开，重点聚焦自动驾驶、智能座舱、软件、芯片、动力总成电气化、热管理、车身及底盘技术、内外饰、环保轻量及新材料以及服务商十大细分板块，进行优秀企业及先进技术解决方案的评选，向行业内外展示这些优秀的企业和行业领军人物，共同推动行业的发展和进步。“2022第四届金辑奖·中国汽车新供应链百强”申报入口←点击报名（或扫描下方二维码）。