Synopsys, Inc. a annoncé la disponibilité de Black Duck® Supply Chain Edition, une nouvelle offre d'analyse de la composition des logiciels (SCA) qui permet aux entreprises d'atténuer les risques en amont dans leurs chaînes d'approvisionnement en logiciels. Black Duck Supply Chain Edition combine plusieurs technologies de détection open source, l'analyse automatisée des nomenclatures logicielles tierces (SBOM) et la détection des logiciels malveillants pour fournir une vue d'ensemble des risques logiciels hérités du code open source, du code tiers et du code généré par l'IA. Les équipes de développement et de sécurité peuvent suivre leurs dépendances tout au long du cycle de vie de l'application afin d'identifier et de résoudre les vulnérabilités de sécurité, les paquets malveillants et les violations et conflits de licence.

Supply Chain Edition s'appuie sur les capacités de Black Duck, leader sur le marché, et offre une gamme complète de fonctionnalités de sécurité de la chaîne d'approvisionnement aux équipes chargées de créer des applications sécurisées et conformes. Les principales caractéristiques de Black Duck Supply Chain sont les suivantes : Plusieurs technologies de détection des sources ouvertes. Identifiez avec précision les composants open source dans n'importe quel langage de programmation à l'aide de la combinaison la plus complète de technologies d'analyse logicielle, notamment l'analyse des dépendances des paquets, CodePrint ?, des extraits, des binaires et des conteneurs.

Importation et analyse de SBOM tiers. Importez des SBOM de fournisseurs de logiciels tiers et cataloguez automatiquement les composants open source, commerciaux et personnalisés qu'ils contiennent. Détection des logiciels malveillants (grâce à la technologie de ReversingLabs).

Effectuez des analyses post-construction pour détecter la présence de logiciels malveillants, tels que des fichiers suspects, des applications potentiellement indésirables, des logiciels de protestation et des structures de fichiers suspectes. Identification et réduction des risques. Surveillez en permanence les vulnérabilités des sources ouvertes, les secrets exposés, les logiciels malveillants et les paquets malveillants, tant dans les SBOM générés que dans ceux qui sont importés.

Gestion du risque de propriété intellectuelle et de la conformité des licences. Identifiez automatiquement les licences logicielles associées aux dépendances et recevez des conseils sur les obligations ou les conflits avec la manière dont l'application est licenciée, déployée et distribuée. Analysez le code généré par l'IA afin d'identifier les bribes de code source libre cachées qui peuvent être soumises à des obligations en matière de droits d'auteur ou de licences.

SBOMs standard de l'industrie. Exportez des SBOMs contenant toutes les dépendances open source, personnalisées et commerciales, aux formats SPDX ou CycloneDX, pour vous aligner sur les exigences du client, de l'industrie ou de la réglementation. Exploiter des modèles prêts à l'emploi pour répondre au niveau de détail de partage spécifié par les clients en aval. Black Duck Supply Chain Edition sera disponible le 25 avril 2024 et présenté du 6 au 9 mai 2024 lors de la RSA Conference à San Francisco, sur le stand 1027 du Software Integrity Group de Synopsys.