Recensione di Black Duck

Black Duck è un software di gestione open source, utilizzato dagli sviluppatori Web e dai team legali e di sicurezza per scoprire, monitorare e gestire le vulnerabilità e la conformità delle licenze. Utilizza un’esclusiva tecnologia di rilevamento a più fattori per garantire la sicurezza nel codice, nei file binari e nei contenuti e consente all’utente di impostare la sicurezza open source e utilizzare i suoi criteri.
Black Duck esegue automaticamente la scansione delle vulnerabilità e produce una distinta base completa per tenere traccia dei rischi identificati. Con la soluzione, la tua organizzazione beneficia dell’uso della Black Duck Knowledge Base, che contiene oltre 4,5 milioni di progetti open source e 2.750 licenze, fornendo la copertura di sicurezza più completa del settore.

BLACK DUCK – TUTORIAL

BLACK DUCK – CARATTERISTICHE

• Integrazioni IDE: questi plug-in scansionano automaticamente i componenti open source mentre li inserisci nel tuo codice, consentendoti di cercare le informazioni sulla sicurezza dei componenti e di intraprendere le azioni correttive anche prima di archiviare il tuo codice.
• Gestori di pacchetti e strumenti di creazione: con la soluzione puoi aumentare il rilevamento open source e la scansione di file binari con le informazioni sulle dipendenze ottenute dall’ambiente di build stesso. Automatizza la raccolta e il reporting delle dipendenze dei progetti, combinando i dati di entrambe le fonti in una distinta base (BoM) open source altamente completa e accurata.
• Integrazioni per il rilevamento di bug e problemi: le integrazioni di monitoraggio dei bug e dei problemi ti consentono di generare, tracciare e gestire i problemi (ovvero i ticket) relativi alle violazioni delle politiche e agli avvisi di sicurezza in modo nativo nei sistemi che già utilizzi per gestire il tuo lavoro di sviluppo e test.
• Repository binari: le integrazioni del repository binario ti aiutano a garantire che gli artefatti del codice utilizzati dai tuoi sviluppatori siano conformi alle politiche di utilizzo open source e siano privi di vulnerabilità note. Questi plug-in scansionano gli artefatti già nel repository e quelli aggiunti, impedendo l’ingresso o la propagazione di dati non conformi.
• Suite di sicurezza delle applicazioni: offrono agli utenti una visione da “un unico pannello” delle vulnerabilità delle applicazioni sia nel codice personalizzato che nei componenti open source che compongono le loro applicazioni. Questa visualizzazione integrata delle vulnerabilità open source con i risultati dei test di sicurezza delle applicazioni statiche aiuta i team a stabilire le priorità e tenere traccia degli sforzi di riparazione nell’intera base di codice dell’applicazione.
• Interfaccia di programmazione: Oltre alle integrazioni predefinite, puoi anche sviluppare le tue integrazioni personalizzate utilizzando un ricco set di API REST, che supportano un’ampia gamma di funzionalità di configurazione, automazione, gestione delle policy e avvisi. La documentazione e gli esempi interattivi sono disponibili dall’interfaccia utente.

LE RECENSIONI DEGLI UTENTI

Sharique”Black Duck – Lo strumento per l’analisi della composizione del software”
Commenti: Ottima esperienza a partire dalla fase di ideazione, fase di valutazione e successivamente alla completa implementazione. È un ottimo strumento nel campo della sicurezza e un must
Pro: Un elenco aggiornato delle vulnerabilità e la facilità di manutenzione e amministrazione sono le caratteristiche principali dello strumento. Inoltre, è un gioco da ragazzi integrarsi con vari set di strumenti CI/CD garantendo un’ottima pratica DevSecOps
Contro: Immagino che in generale DevSecOps sia ancora un fenomeno recente e sviluppatori e ingegneri debbano familiarizzare bene con tali concetti di sicurezza

Rob”Sembra complesso ma utilizzabile”
Pro: Il supporto è solido e tecnicamente competente. Abbiamo dovuto utilizzare il supporto alcune volte e, sebbene i problemi fossero complessi, gli ingegneri sono stati diligenti nel risolvere il problema.
Contro: La possibilità di trovare informazioni indipendenti dagli utenti su questo software è quasi impossibile. Non sono sicuro del motivo per cui è così.

Ed”Grande esperienza. L’API ha bisogno di un po’ di lavoro”
Commenti: Molte informazioni prontamente disponibili
Pro: Mi piace la possibilità di vedere a colpo d’occhio informazioni dettagliate sulle dipendenze. Potendo anche seguire i breadcrumb ai report CVE.
Contro: L’API REST è estremamente difficile da utilizzare e deve essere più facile da usare. Voglio essere in grado di ottenere semplicemente un token API e usarlo per effettuare chiamate.