Synopsys, Inc. ha anunciado la disponibilidad de Black Duck® Supply Chain Edition, una nueva oferta de análisis de composición de software (SCA) que permite a las organizaciones mitigar el riesgo ascendente en sus cadenas de suministro de software. Black Duck Supply Chain Edition combina múltiples tecnologías de detección de código abierto, análisis automatizado de la lista de materiales de software (SBOM) de terceros y detección de malware para proporcionar una visión completa de los riesgos de software heredados del código abierto, de terceros y del código generado por IA. Los equipos de desarrollo y seguridad pueden rastrear sus dependencias a lo largo de todo el ciclo de vida de la aplicación para identificar y resolver vulnerabilidades de seguridad, paquetes maliciosos y violaciones y conflictos de licencia.

La edición Supply Chain se basa en las capacidades líderes del mercado de Black Duck y ofrece una gama completa de funciones de seguridad de la cadena de suministro a los equipos responsables de crear aplicaciones seguras y conformes. Las características clave de Black Duck Supply Chain incluyen: Múltiples tecnologías de detección de código abierto. Identifique con precisión los componentes de código abierto en cualquier lenguaje de programación mediante la combinación más completa de tecnologías de análisis de software, incluidos el análisis de dependencias de paquetes, CodePrint?, fragmentos, binarios y contenedores.

Importación y análisis de SBOM de terceros. Importe SBOM de proveedores de software de terceros y catalogue automáticamente los componentes de código abierto, comerciales y personalizados que contienen. Detección de malware (aprovechando la tecnología de ReversingLabs).

Realice análisis posteriores a la compilación para detectar la presencia de malware, como archivos sospechosos, aplicaciones potencialmente no deseadas, software de protesta y estructuras de archivos sospechosas. Identificación y mitigación de riesgos. Supervise continuamente la presencia de vulnerabilidades de código abierto, secretos expuestos, malware y paquetes maliciosos tanto en los SBOM generados como en los importados.

Gestión de riesgos de propiedad intelectual y cumplimiento de licencias. Identifique automáticamente las licencias de software asociadas a las dependencias y reciba orientación sobre las obligaciones o conflictos con la forma en que se licencia, despliega y distribuye la aplicación. Analice el código generado por la IA para identificar fragmentos ocultos de código abierto que puedan estar sujetos a derechos de autor u obligaciones de licencia.

SBOM estándar del sector. Exporte SBOM que contengan todas las dependencias de código abierto, personalizadas y comerciales, en formatos SPDX o CycloneDX, para alinearse con los requisitos del cliente, del sector o normativos. Aproveche las plantillas listas para usar para satisfacer el nivel adecuado de detalle de compartición especificado por los clientes intermedios. Black Duck Supply Chain Edition estará disponible de forma general el 25 de abril de 2024 y se presentará del 6 al 9 de mayo de 2024 en la Conferencia RSA de San Francisco, en el stand del Grupo de Integridad del Software de Synopsys, nº 1027.