DATE: 2018.12.27
1、参考
https://www.synopsys.com/zh-cn/software-integrity/security-testing/software-composition-analysis.html
http://www.cnblogs.com/crft/articles/5140727.html
http://blog.sina.com.cn/s/blog_1738862940102wrd2.html
2、Black Duck简介
Open source software(OSS)在开发过程中用的越来越多,带来的好处也非常明显:
- 降低成本
- 增强软件的灵活性
- 缩减产品上市时间
但是,OSS也带来了很多的风险,比如违反许可证、安全漏洞等。
开源代码管理平台 Blackduck:
1、15年开源代码管理领域的经验积累,深入理解开源和用户的需求。
2、在相关领域的市场占有率遥遥领先,在已开展开源代码审计工作的软件开发企业和政府机构中,绝大多数的主流用户都选择了Black Duck。
技术优势:
1、全球最大、最全面的开源知识库,包含超过1000亿行开源代码、涉及超过130万个开源项目(包括所有版本)、超过2400个开源许可证。数据来自全球7500多个站点。
2、先进的代码匹配检测技术,支持代码文件匹配和代码片段匹配,能够精确的检测出匹配的代码,哪怕只有几行相同的代码。
3、支持源代码扫描和二进制文件扫描。
4、自动分析开源许可证的冲突项目。
5、能够统计代码的相似度和开源代码比例。
6、支持丰富的编程语言,能够对数十种常用编程语言的代码进行扫描。
7、与NVD 和 RBS 两个漏洞库同步,获取最全面的开源代码漏洞信息。
8、开源软件成熟度分析(包括开源软件的活跃程度、用户使用的开源版本与最新版本间的差距等)。
9、持续的扩展与更新,能够将最新的开源代码收录到知识库中。
10、与用户已有的软件开发工具的无缝集成。
3、扫描原理
https://www.blackducksoftware.com/technology/open-source-scanning
https://www.synopsys.com/content/dam/synopsys/sig-assets/datasheets/blackduck-binaryanalysis-ds-ul.pdf