Direkt zum Inhalt

Der Ansatz von Black Duck für das Scannen und die Entdeckung von Open Source

Mit der Mehrfaktor-Scantechnologie für Open Source von Black Duck behalten Sie stets den vollständigen und genauen Überblick über den Open-Source-Code in Ihren Anwendungen und Containern. Unsere Lösung vereint in sich die Überwachung von Erstellungsprozessen und das Scannen von Dateisystemen und ermöglicht so die Verfolgung aller verwendeten Open-Source-Codes, selbst in solchen Komponenten, die von den meisten anderen Lösungen übersehen werden.

So funktioniert es

 

Warum Paketdeklarationen alleine nicht ausreichen

Die meisten anderen Lösungen stützen sich für die Identifikation von Open-Source-Komponenten ausschließlich auf Paketmanagerdeklarationen. Somit entgehen diesen Lösungen jedoch zahlreiche Open-Source-Komponenten, die sich möglicherweise in Ihrem Code verstecken. Darunter unter anderem die folgenden:

  • Open-Source-Code, den Entwickler Ihrem Code hinzufügen, in Paketmanifesten jedoch nicht angeben
  • Open-Source-Code in Programmiersprachen wie C und C++, für die keine Paketmanager genutzt werden
  • Open-Source-Code, der ohne Zuhilfenahme von Paketmanagern in Container integriert wurde

Zudem sind die Ergebnisse dieser Lösungen bei vorübergehenden Abhängigkeiten und Komponenten, deren Paketdeklaration keine genaue Version für die Integration in die Anwendung enthält, häufig falsch.

Black Duck kombiniert in seinen Lösungen Dateisystemdaten mit Erstellungsprozessüberwachung und ermöglicht so transparente Einblicke in nicht von Paketmanagern erfasste Open-Source-Komponenten sowie Verifizierung von Komponenten und Versionen für dynamische und vorübergehende Abhängigkeiten.

Einfache Integration in Ihre CI-/CD-Pipeline

Der Client für die Open-Source-Erkennung macht die Integration von Black Duck in Ihre bestehenden Entwicklungs-Tools und -prozesse zum Kinderspiel. Mit dieser Lösung werden automatisch verwendete Programmiersprachen und Paketmanager identifiziert, entsprechende Integrationen für die Erkennung konfiguriert und Code effektiv analysiert.

Weitere Informationen über Black-Duck-Integrationen >