Synopsys, Inc. ha annunciato la disponibilità di Black Duck® Supply Chain Edition, una nuova offerta di analisi della composizione del software (SCA) che consente alle organizzazioni di mitigare il rischio a monte nelle loro catene di fornitura del software. Black Duck Supply Chain Edition combina diverse tecnologie di rilevamento dell'open source, l'analisi automatizzata della distinta base del software di terze parti (SBOM) e il rilevamento del malware per fornire una visione completa dei rischi del software ereditati dal codice open source, di terze parti e generato dall'AI. I team di sviluppo e di sicurezza possono tracciare le loro dipendenze lungo l'intero ciclo di vita dell'applicazione per identificare e risolvere le vulnerabilità di sicurezza, i pacchetti dannosi e le violazioni e i conflitti di licenza.

La Supply Chain Edition si basa sulle funzionalità leader di mercato di Black Duck e offre una gamma completa di funzionalità di sicurezza della catena di approvvigionamento ai team responsabili della costruzione di applicazioni sicure e conformi. Le caratteristiche principali di Black Duck Supply Chain includono: Molteplici tecnologie di rilevamento dell'open source. Identifica con precisione i componenti open source in qualsiasi linguaggio di programmazione, utilizzando la combinazione più completa di tecnologie di analisi del software, tra cui dipendenza dal pacchetto, CodePrint?, snippet, analisi binaria e container.

Importazione e analisi di SBOM di terze parti. Importa SBOM da fornitori di software terzi e cataloga automaticamente i componenti open source, commerciali e personalizzati in essi contenuti. Rilevamento di malware (sfruttando la tecnologia di ReversingLabs).

Esegue analisi post-build per rilevare la presenza di malware, come file sospetti, applicazioni potenzialmente indesiderate, software di protesta e strutture di file sospette. Identificazione e mitigazione dei rischi. Monitoraggio continuo delle vulnerabilità open source, dei segreti esposti, del malware e dei pacchetti dannosi, sia nelle SBOM generate che in quelle importate.

Gestione del rischio IP e della conformità delle licenze. Identifica automaticamente le licenze software associate alle dipendenze e riceve indicazioni sugli obblighi o i conflitti con le modalità di licenza, distribuzione e distribuzione dell'applicazione. Analizzare il codice generato dall'AI per identificare i frammenti open source nascosti che potrebbero essere soggetti a obblighi di copyright o di licenza.

SBOM standard del settore. Esportazione di SBOM contenenti tutte le dipendenze open source, personalizzate e commerciali, nei formati SPDX o CycloneDX, per allinearsi ai requisiti del cliente, del settore o delle normative. Sfruttare i modelli pronti per l'uso per soddisfare il livello appropriato di dettaglio di condivisione specificato dai clienti a valle. Black Duck Supply Chain Edition sarà generalmente disponibile il 25 aprile 2024 e sarà presentato dal 6 al 9 maggio 2024 alla RSA Conference di San Francisco presso lo stand del Synopsys Software Integrity Group, al numero 1027.