青蛙和鸭子，你的开源安全哨兵

Black Duck Software创建了保护和管理应hth华体会最新官方网站用程序和容器中的开源的产品，消除了与开源相关的痛苦安全漏洞以及许可证遵从性。的第十届年度开源未来调查他们在2016年进行了调查，提供的数据证明了许多我们已经知道的关于开源的事情。

首先，“每个人”都在使用开源，或者正如调查结果所述……

“无处不在的全球开源软件开发是规则。”

调查还显示，使用开源的主要动力是摆脱厂商的束缚。这也是JFrog的主要驱动力之一，也是我们创造的一切都是通用的原因:

Artifactory,通用工件存储库管理器

Bintray,通用软件分发平台,

x光,因为通用工件的分析,

任务控制为通用存储库的管理。

大多数组织盲目地使用开源

但调查也显示，大多数组织缺乏对其开源软件的可见性和控制。开放源代码通过许多已知和未知的来源(包括开发人员、供应商和外部承包商)进入并在组织的应用程序代码中传播。由Black Duck on - demand services进行的开源审计发现，平均而言，公司使用的开源是他们之前意识到的两倍，67%的应用程序包含已知的开源漏洞。

你需要一个过程才能看到光明

为了消除围绕开源使用的“迷雾”，组织需要大量自动化和可重复的流程，而在大多数情况下，这些流程并不存在。这些包括:

• 在新的开放源代码进入代码流时对其进行检测和批准
• 在他们的代码库和Docker容器中盘点和跟踪开源软件的使用情况
• 识别或监控与他们使用的开源软件相关的已知开源漏洞(如Heartbleed, ShellShock等)
• 随着时间的推移对风险补救工作进行编排或跟踪
• 对使用具有不兼容许可条款的开放源码软件可能产生的诉讼和知识产权风险进行评估。
• 审计和执行开源安全策略和许可证遵从性。

所有这些过程现在都更容易实现与黑鸭中心集成到JFrog Xray和黑鸭的二进制存储库集成插件JFrog Artifactory

x光照亮了黑鸭中心前进的道路

x光的深度递归扫描获取Artifactory存储库中的包，并深入到最深层，以识别您正在使用的所有开放源代码依赖项。Xray将这些依赖关系与从不同来源汇总的全球漏洞数据库交叉引用。

Black Duck Hub为组织提供贯穿其整个项目的开源风险管理软件开发生命周期)——包括IDE、SCM、build、CI、二进制存储库和Docker容器。

通过Xray与黑鸭中心的集成，您可以极大地扩展漏洞数据库，以包括黑鸭的综合知识库(™)超过2,000,000个开源项目和150,000个漏洞。所有你需要做的就是在Xray的集成模块中输入你的黑鸭证书。

Black Duck与JFrog Artifactory和Xray的集成允许组织在SDLC的不同层次上管理构建输出扫描和存储库检查。在存储库级别使用Artifactory Pro，或者在正式的SDLC过程之外使用Xray。Build输出扫描器插件提供了监视构建的能力，并在开发过程的早期提供风险信息，例如，当开发人员需要监视构建时。当企业拥有多个不同的SDLC工具集并且不可能跨所有工具集进行统一集成时，Repository检查器插件提供了监视工件的能力。集成黑鸭中心到x射线也提供类似的功能，通过x射线。x射线扫描存储库中的构建和工件手表你定义，交叉引用这些工件与它的全局数据库结合黑鸭知识库来识别问题和漏洞，之后它就可以生成相应的警报补救。

将JFrog Xray和JFrog Artifactory的强大功能与Black Duck Hub相结合，使组织能够消除开源安全漏洞，满足许可合规义务并限制操作风险。

识别组件和开源安全风险

Xray自动跟踪工件存储库中组件和Docker映像使用的开源。它将这些组件映射到其全球数据库和黑鸭知识库中报告的具有已知开源安全漏洞的组件，并监控许可证和组件质量风险。

自动化补救和策略执行

轻松执行开源许可策略许可证过滤器定义，并简化执行在自动化CI过程的早期进行干预如果在构建中检测到漏洞。

持续监控应用程序的新漏洞

Xray的全球数据库和Black Duck的知识库都汇集了多个漏洞数据源，因此您可以获得在生产应用程序中检测到的新漏洞的当日警报。通知可以通过Xray UI、电子邮件或调用webhook发出

随着Xray和Black Duck守护着您的大门，您对开源软件的使用被置于聚光灯下。您完全了解您的组织使用的所有开源组件，可以在SDLC的早期检测和修复漏洞，当检测到可能潜伏在您的生产系统中的新漏洞时，您会迅速收到通知，并且使用开源不仅无处不在，而且还很安全。