오픈소스 관리

오픈소스 라이선스 및 취약점 관리

Synopsys BlackDuck

Take Flight with Open Source. Make Sure Black Duck is your Wing Man

개요

오픈소스를 사용하는 동안 발생하는 라이선스와 취약점, 소스코드 품질 관리를 위한 포괄적인 솔루션입니다. Forrester Research가 선정한 소프트웨어 구성 분석 분야의 선두 주자로써 서드파티 코드에 대한 타의 추종을 불허하는 통찰력으로 전반적인 소프트웨어의 공급망과 애플리케이션 라이프사이클 전반에 거쳐 오픈소스의 라이선스와 보안을 관리합니다.

주요기능

보안은 가시성에서 부터 시작됩니다. 오픈 소스 보안의 첫 번째 단계는 코드베이스에서 오픈 소스가 무엇인지에 대한 가시성을 확보하는 것입니다. 가시성이란 어떤 오픈 소스 라이브러리가 사용 중인지 뿐만 아니라 이 라이브러리가 어디서 어떻게 사용되는지를 파악하는 것을 의미합니다.

기존의 대다수 솔루션은 패키지 관리자 선언에 의존하여 개발 팀에서 사용하는 오픈 소스를 추적합니다. 이방법은 선언되지 않은 상태에서 프로제트에 들어가는 코드를 문서화하지 못하고 이행 종속성(transitive dependencies)을 설명하지 못하며, 패키지 관리자를 사용하지 않는 C 및 C++ 같은 언어에는 적합하지 않습니다.

업계에서 유일하게 Black Duck Hub만이 오픈 소스 검색에 다각적 접근 방식을 취하여 가장 완벽한 BOM(Bill of Material)을 생성합니다. Black Duck의 다각적 오픈 소스 검색 기술은 빌드 프로세스 모니터링, 파일 시스템 스캐닝, 선택적 스니펫 매칭 기술을 결합하여 빌드 중 식별된 종속성을 비롯해 사용 중인 모든 오픈 소스를 추적합니다. 이렇게 하면 일치 정확도를 높이고 오탐을 줄이기 위한 여러 가지 증거를 얻을 수 있습니다.

Black Duck Hub는 애플리케이션 내에서 사용 중인 오픈 소스 라이브러리에 대해 나중에 보고되는 새로운 취약점을 자동으로 모니터링하므로, 새로 식별된 취약점에 신속하게 대응할 수 있습니다.


스크린샷



특징

안전한 DevOps를 위한 통합

Hub Detect 오픈 소스 검색 클라이언트를 사용하면 Black Duck Hub를 기존 개발 도구 및 프로세스에 쉽게 통합할 수 있습니다. 자동으로 어떤 언어와 패키지 관리자가 사용되고 있는지 확인하고 검색을 위한 적절한 통합을 구성하며 코드를 분석하는 가장 효과적인 방법을 찾습니다. 오픈 소스 보안 인사이트가 필요한 곳에 그 어느 때보다 빠르게 이를 전달합니다.

사용자 지정 BoM(Bill of Material)

자동화된 스캐닝결과, 빌드 도구 및패키지 관리자 매니페스트, 수동 입력을 결합하여, 편집 가능한 오픈 소스 BoM(리소스 명세서: Bill of Meterial)으로 코드 가시성을 유지합니다.

자동 취약점 매핑 및 경고

애플리케이션의 오픈 소스와 관련된 알려진 취약점을파악하고 새로 보고된 취약점이 영향을 미칠 때 경고를 받습니다.

향상된 취약점 데이터 제공

Black Duck Hub는 KnowledeBase의 위험 등급 심각도 메트릭 및 향상된 취약점 데이터를 사용하여 애플리케이션 보안 위험 상황에 대한 상세한 통찰력을 제공합니다.

활용의 일반적인 결과

구성 요소 수준 업그레이드 및 문제 해결 지침

취약점 개선 방법 추적

개별 프로젝트 내에서 일정대로 시행되거나 실제로 이루어지는 취약점 개선 진행 상황을 추적합니다. Black Duck의 양방향 Jira 통합을 활용하거나 문제 해결 보고서를 CSV내보내기 기능을 통해 타사 도구로 쉽게 내보낼 수 있습니다.

정책 관리

오픈 소스 프로젝트, 라이선스 유형 및 취약점 허용에 대한 정책을 설정합니다. 정책 위반을 빠르게 식별하고 프로젝트 및 구성 요소별로 예외 사항을 관리합니다.

스니펫 매칭

라이선스 준수 위험에 대한 더 자세한 통찰력을 얻기 위해 74개 언어, 149가지 파일 유형에 대해 스니펫 스캔을 수행합니다.

대시보드 및 보고서

이해하기 쉬운 보안, 라이선스, 커뮤니티 활동 위험, 문제 해결 진행 대시보드 및 보고서를 통해 프로젝트 내외의 위험을 분석합니다.

지원기술

Languages

  • C

  • C++

  • C#

  • Clojure

  • Erlang

  • Golang

  • Groovy

  • Java

  • JavaScript

  • Kotlin

  • Node.js

  • Objective-C

  • Swift

  • Perl

  • Python

  • PHP

  • R

  • Ruby

  • Scala

  • .NET Cloud technologies


Databases

  • PostgreSQL

Package managers

  • NuGet

  • Hex

  • Vndr

  • Godep

  • Dep

  • Maven

  • Gradle

  • Npm

  • CocoaPods

  • Cpanm

  • Pear

  • Composer

  • pip

  • Packrat

  • RubyGems

  • SBT

Cloud technologies

  • Cloud platforms

  • Amazon Web Services

  • Google Cloud Platform

  • Microsoft Azure

  • Container platforms

  • Docker

  • OpenShift

  • Pivotal Cloud Foundry

  • Kubernetes


Continuous integration

  • Jenkins

  • TeamCity

  • Bamboo

  • Team Foundation Server

  • Travis CI

  • CircleCI

  • GitLab CI

  • Visual Studio Team Services

  • Concourse CI

  • AWS CodeBuild

  • Codeship

Application Security Suites

  • IBM AppScan

  • Micro Focus Fortify

  • SonarQube

  • ThreadFix


DevOps tools

  • IDEs

    • Eclipse

    • Visual Studio IDE


  • Bug and issue trackers

    • Jira

  • Binary and source repositories

    • Artifactory

    • Nexus

    • GitHub

동영상 정보

오픈소스로 비행하십시오.

블랙덕이 윙맨인지 확인하고, 오픈소스로 비행하십시오. 오픈소스는 틈새시장이자, 미래 산업의 중심이 될 것입니다. 오픈소스는 많은 것들을 바꾸고 있습니다.

모든 개발자는 오픈소스를 사용하고 있고, 소프트웨어를 개발할 때 오픈소스를 사용하면 인력 및 시간, 비용을 줄일 수 있는 장점이 있습니다.

그러나, 해커들은 계속해서 공격을 시도하고 보안 위협은 끊임없이 진화합니다. 사용하는 오픈소스가 어떤 취약점을 가지고 있는지 알아야 하며, 매일 새로운 위협에 대응해야 합니다. 그리고 개발자가 어떤 오픈소스를 사용하고 있는지, 라이선스를 준수하고 있는지 점검해야 합니다.

블랙덕이란?

블랙덕 소프트웨어에 대해 자세히 알아보겠습니다.

오늘날 기업은 더 빠르게, 더 경쟁력 있게, 더 잘해야 한다는 압박을 받고 있습니다.

안전한 소프트웨어를 사용하려면, 오픈소스가 필요합니다. 기업은 소프트웨어 개발에 많은 시간과 비용을 투자하고 있습니다. 소프트웨어를 적은 비용으로 빠르게 개발하려면 오픈소스가 필요합니다.

기업이 오픈소스에 대한 가시성과 통제권을 얻으려면 어떻게 해야 할까요?

바로 블랙덕을 사용하면 됩니다.

오픈소스 취약점 관리

블랙덕을 사용한다면 오픈소스 취약점 관리는 쉬운 일입니다.

하트블리드 버그는 50만 개 이상의 조직과 개발자를 혼란에 빠뜨렸습니다.

이들은 동일한 질문을 받았습니다. 어떤 오픈소스를 사용했는지, 어디에 사용했고, 얼마나 사용했는지 기업의 소스코드 크기를 고려하면, 사용된 오픈소스를 찾는 것은 큰 창고에서 작은 상자를 찾는 것처럼 막막할 것입니다.

블랙덕은 안전한 오픈소스 코드를 검사하는 글로벌 플랫폼으로서, 오픈소스에 대한 놀라운 가시성을 제공하였습니다. 블랙덕을 사용하면 하트블리드 버그를 파악하는 것은 매우 간단하며, Open SSL을 업그레이드하는 것은 쉬운 일입니다.

그리고 블랙덕은 오픈소스, 컴포넌트, 프로젝트 및 라이선스의 취약점을 검사하는 글로벌 최고의 빅데이터를 가지고 있습니다.

블랙덕으로 오프소스를 검사하는 방법

시놉시스 블랙덕이 오픈소스를 검사하는 방식에 대해 설명하겠습니다.

먼저 블랙덕 허브는 파일 시스템 검색으로, 소스코드에 있는 파일과 폴더의 해시를 생성합니다. 그리고 블랙덕 데이터베이스에 접근하여 오픈소스 해시와 비교합니다. 패키지화된 파일과 빌드를 활용하여 어떠한 오픈소스가 사용되었는지, 추가된 오픈소스는 없는지 확인합니다.

다음은 개발자가 자바 프로젝트에서 Jenkins를 사용하는 방법을 설명하겠습니다.