增强型漏洞数据
您正在开发的应用程序中是否存在开源组件漏洞? 昨天交付的应用程序呢?
每年都会报告数以千计的开源组件漏洞被发现。但与商业软件不同,没有所谓的开源组件供应商可以随时告知您或确保您使用全新的安全更新的开源组件。您必须自己保护自己。
Black Duck 的漏洞数据库全面展现了您正在使用的开源中的已知漏洞,并在出现新漏洞时发出实时提醒,在应用程序交付前以及交付后实时保护您的安全。
未被 NVD收录
其他解决方案单单依赖国家漏洞数据库 (NVD) 的数据,该数据库是美国政府基于标准的漏洞数据存储库。但是,许多漏洞和受影响的开源项目从未在 NVD 中记录过,并且漏洞通常都是在发布几周之后才被列入 NVD 的。面对这些风险,我们不能坐以待毙。
Black Duck Security Advisories (BDSA) 超越 NVD,借助经由 Black Duck 网络安全研究中心 (CyRC) 研究和分析的增强型数据,保证完整性和准确性,尽早发出漏洞提醒并提供全面的见解。
这是您和开源组件漏洞被黑客利用的角逐
开源获得广泛使用, 开源组件漏洞 和漏洞利用被广泛报告——两者通常在同一天实现。这为黑客提供了必要工具和领先优势,帮助他们破坏成千上万个应用程序和网站。
漏洞一旦发布,角逐即告开始。必须找出并修复 应用程序中存在漏洞的开源组件 ,防止其被利用。Black Duck 通过全面展示您在用的开源资源 并且更早提示新报告的漏洞 ,帮助您在这场角逐中取胜,使您能够快速查找并修复漏洞。
- 当日告知新报告的安全漏洞,比 NVD 提早了三周
- Black Duck 独有的数千个未在 NVD 中收录的漏洞
- 可操作的缓解方式、变通方法和修补指导
- 直接匹配到受影响的应用程序,以快速评估风险
- CWE 和 CVSS 2.0/3.0 严重性数据
- 攻击证据和破坏信息
- 政策功能可基于增强型 BDSA 数据自动执行漏洞优先级排序以进行修补
Black Duck 技术
Black Duck 在部署之前、期间和之后全程为您提供保护
新的开源漏洞通常要在引入几年之后才会被发现。 为安全起见,在部署应用程序之后,面对漏洞,您必须长期保持主动地位。Black Duck 会持续监控并且在新的漏洞影响您的应用程序时提醒您(无论是在开发还是在生产中)——全部操作均为自动、连续,无需重新扫描。Black Duck 在 应用程序的整个开发生命周期为您全程提供保障。