Black duck™(黑鸭子软件)是一款对源代码进行扫描、审计和管理的软件测试工具。软件分别有protex、Codecenter、Export组成。该工具统计开源代码的数量、质量、以及潜在的安全漏洞风险。
Protex:开源代码知识产权与合规性检查。
Coedcenter寻找管理使用有效的开源代码,以及开源代码中存在的安全漏洞问题。
Export发现源代码中是否含有出口管制的加密算法。
HUB:支持二进制开源代码扫描,可以精确到开源代码两行的片段级扫描。
Black duck功能:
1.知识产权与合规性:开源软件的License(法律法规)冲突风险,代码的合规性检查。
2.安全漏洞:开源软件已知安全BUG漏洞、隐藏性、攻击利用性漏洞。
3.开源软件质量:①开源软件版本,功能、性能、安全性的提升。②开源软件项目更新的活跃度,软件质量、发展前景。③开源社区的漏洞发现,无人维护和解决问题。
4.自主可控,外部监管:①国家相关机构,对软件自主知识产权可控要求。②华为对供应商开源软件合规性检查要求。
Black duck 开源软件测试工具:
1.KB漏洞库NVD+VulnDB:①NVD美国国家信息安全漏洞库。②VulnDB美国商业公司漏洞库。
2.软件支持扫描格式:片段级、文件级扫描。
产品特点:
1.Black duck是目前世界上最大,最全的开源知识库,覆盖了目前几乎所有的开源代码。
2.先进的“代码指纹”识别技术,将开源代码生成Code Print,可快速分析比对查找到源代码中的开源代码以及安全风险提示。
3.强大的开源代码匹配搜索引擎,可以从开源代码的描述、版本、许可证类型、编程语方、支持操作系统等多种角度进行匹配,帮你快速找到开源代码资源。
4.详细的审计分析与报表,可将源代码与开源许可协议中的冲突项全部列出,并针对每个冲突项生成单独的报表,同时提示相应的解决方法。