세계 최초 오픈소스 검증 솔루션  

소프트웨어 구성요소 분석 솔루션 (SCA)

보안 취약점 및 라이선스 점검 1위 솔루션

Black Duck

오픈소스 관리(라이선스, 보안취약점 점검)

SBOM

코드베이스/바이너리 분석

컨테이너 이미지 분석


 알려진 보안 취약점(CVE) 탐지 및 오픈소스 라이선스 점검

 Synopsys에서 추가 보안취약점 DB(BDSA) 제공

오픈소스 컴포넌트 자동식별 및 오픈소스 의존성 분석
 코드베이스 뿐만 아니라 바이너리 및 컨테이너 이미지 분석 지원

 오픈소스의 일부분을 차용하는 'code snippet' 탐지 가능

 SBOM(소프트웨어 명세서) 기능 지원(SPDX, Cyclone DX) 

Black Duck은 소프트웨어 개발 시 사용된 오픈소스를 식별하고, 식별된 오픈소스의 보안 취약점과 라이선스를 점검 및 관리하는 도구로서, 오픈소스 사용 시 발생할 수 있는 보안 취약점 및 라이선스 위반 리스크를 최소화하는 오픈소스 점검 솔루션입니다.


상용 애플리케이션과 벤더 공급 바이너리, 기타 서드파티 소프트웨어의 구성에 대한 SBOM의 가시성을 높일 수 있으며 조달, 운영 및 개발팀의 보안 품질 역량을 강화할 수 있습니다. 또한, 소프트웨어 공급망과 애플리케이션 수명 주기 전반에 걸쳐 오픈소스를 관리할 수 있도록 지원합니다.


Black Duck 주요 기능

탐색 (Detect)
  • 식별 : 의존성, 코드베이스, snippet, 바이너리 및 컨테이너에서 오픈소스 식별
  • 탐지 : 일부 수정되거나 정확히 매치된
    오픈소스 컴포넌트를 탐지
  • 자동화 : DevOps에 연동하여 스캔, 분석 자동화
보호 (Protect)
  • 비교 : 발견된 오픈소스 컴포넌트를 방대한
    KnowledgeBase DB에 비교
  • 분석 : 오픈소스 컴포넌트의 라이선스 및 알려진 보안취약점 제공
  • 모니터링 : 새로 발견된 보안취약점이나 개발 및 생산 과정에서 발견된 보안취약점을 모니터링
관리 (Manage)
  • 정책 설정 및 시행 : Policy 기능을 이용하여 정책을 설정하고 시행하여 위반시 대처방안 확인
  • 자동화 : DevOps 통합하여 지속적으로 프로젝트를 추적 관리 자동화
  • 오픈소스 사용 관리 : 오픈소스 컴포넌트를 사용하는 프로젝트 관리가 가능하여 급작스러운 보안취약점 이슈 발생시 대응 지원

Black Duck에서 제공되는

Knowledge Base

오픈소스 업계에서 가장 포괄적인 오픈소스 프로젝트, 라이선스 및 보안취약점 정보 데이터베이스로서 Synopsys의 사이버 보안 연구센터(CyRC)에서 관리하고 있습니다.


2,750+

오픈소스 라이선스



208,000+

보안취약점



6,300,000+

오픈소스 프로젝트



보안 취약점 및 라이선스 점검 1위 솔루션 | 소프트웨어 공급망 보안 및 라이선스, 코드 품질 리스크 관리 도구

Black Duck Binary Analysis(BDBA)

오픈소스 및 서드파티 컴포넌트 추적 |알려진 보안 취약점, 관련 라이선스 및 코드 품질 리스크 식별 | SBOM 지원

  거의 모든 소프트웨어 또는 펌웨어를 몇 분 안에 스캔


 소스 코드 불필요


 포괄적인 SBOM 확보


 선제적 위협 관리


 클라우드 기반 및 온프레미스 어플라이언스 형태로 이용 

Synopsys Black Duck Binary Analysis(BDBA) 는 복잡한 소프트웨어 공급망과 관련해 지속적으로 발생하는 리스크를 관리하는 소프트웨어 구성 분석(SCA) 솔루션입니다. 

상용 애플리케이션과 벤더사에서 제공하는 바이너리, 기타 서드파티 소프트웨어의 구성요소에 대한 가시성과 다양한 정보를 통해 

조달, 운영 및 개발팀이 보안 품질 역량을 강화할 수 있도록 지원합니다.


* 리스크의 형태 

조직마다 중요한 비즈니스 인프라의 혁신을 가속화하고 효율성을 높이기 위해 다양한 공급업체의 시스템과 소프트웨어를 사용합니다. 

보다 뛰어난 기술 성능과 속도가 요구됨에 따라 서드파티의 복잡한 소프트웨어 공급망에 대한 의존도가 점점 더 높아지는 추세입니다. 

물론 이러한 접근 방식에는 장점도 많지만, 다음과 같은 다양한 보안 문제를 야기할 수 있습니다. 

소프트웨어 패치워크

거의 모든 소프트웨어는 무료 오픈 소스 소프트웨어(FOSS), 사용 기성 코드(COTS), 내부 개발 구성요소 등의 서드파티 컴포넌트가 포함되어 있습니다. 해당 소프트웨어는 대부분 보안 측면을 고려하지 않으며, 취약점을 내포한 경우가 많습니다. 

책임 전가

소프트웨어 및 시스템 이용자는 종종 보안과 안정성이 상위 책임이라는 잘못된 생각을 하여 소프트웨어 공급망을 검사하지 않는 위험에 빠집니다. 



최초 공격 지점 

취약한 서드파티 소프트웨어는 공급망의 전체적인 취약점이 되어 공격자에게 공격 진입로를 내어줍니다. 




BDBA(Black Duck Binary Anlaysis)  주요 기능


종합적인 스캔 가능



  • SBOM(소프트웨어 자재명세서) 생성
    서드파티 및 오픈소스 구성요소를 추적하고 알려진 보안 취약점, 관련 라이선스 및 코드 품질 리스크를 식별

  • 바이너리 코드 분석
    소스 코드가 아닌 바이너리 코드를 분석하기 때문에, 데스크톱, 모바일 애플리케이션, 임베디드 시스템 펌웨어 등을 포함한 대부분의 소프트웨어를 스캔 가능






사용이 간편한 대시보드
  • 취약점 평가 
    BDBA는 특화된 첨단 엔진을 사용하여 CVE(정보 보안 취약점 표준 코드) 식별기 및 심각도를  포함하여 NIST NVD(국가 취약점 데이터베이스)의 각 취약점에 관한 향상된 정보 제공 

  • SBOM(소프트웨어 자재명세서) 생성
    SBOM은 버전, 위치, 라이선스 의무, 알려진 취약점 등을 포함한 각 서드파티 구성요소에 대한 자세한 정보를 확인하여 제공

  • 오픈소스 라이선스 보고서
    적용가능한 라이선스와 잠재적 충돌을 식별하여 소프트웨어 라이선스 규정 미준수 예방하도록 지원
보다 앞선 보안성 확보
  • 정보 유출
    일반 텍스트 암호, 활성 AWS 키, 개발자 자격 증명 및 IP 주소 등 애플리케이션에 실수로 남겨진 표면 데이터를 탐지하여 더욱 철저하게 리스크 확인

  • 컴파일러 스위치
    소프트웨어컴파일리에 사용되는 컴파일러 보안 방법을 파악하여 잔여 위험을 평가하고 잠재적인 보안 허점을 최소화

  • 모바일 권한
    민감한 데이터의 보안과 규정 준수 요구 사항에 미치는 잠재적 영향을 고려하여 모바일 애플리케이션에 필요한 권한을 식별


BDBA(Black Duck Binary Analysis)의 주요 이점 

Black Duck Binary Analysis는 소스 코드에 액세스없이도 소프트웨어를 분석하고 소프트웨어 공급망의 취약점을 빠르고 쉽게 식별할 수 있습니다. 

    특징 
설명 
거의 모든 유형의 소프트웨어와 
펌웨어를 몇 분 내로 스캔
데스크톱 및 모바일 애플리케이션, 임베디드 시스템 펌웨어, 가상 어플라이언스 등을 비롯한 거의 모든 소프트웨어나 펌웨어도 명확하게 탐지할 수 있습니다.
소스 코드 불필요
분석하려는 소프트웨어를 업로드하기만 하면 Black Duck Binary Anlaysis가 몇 분 안에 바이너리 분석 또는 런타임 분석을 철저하게 수행합니다. 
이러한 블랙박스 기술은 공격자가 취약점을 탐지하기 위한 접근 방식과 동일합니다. 
포괄적인 SBOM 확보
모든 서드파티 소프트웨어 구성요소 및 라이선스를 확인하고 분류합니다.
위험 프로필 관리
소프트웨어 구성요소에 대해 알려진 취약점과 라이선스 의무를 파악하여 소프트웨어 보안을 진단합니다.
실질적 지표를 활용한 정보에 입각한 기술 사용 및 조달에 대한 의사결정을 내릴 수 있습니다. 
선제적 위협 관리
이전에 스캔한 소프트웨어에서 새롭게 발견한 취약점에 대해 자동으로 경고를 수신합니다.
다양한 배포 모델
Black Duck Binary Analysis는 클라우드 기반 서비스 또는 온프레미스 어플라이언스 형태로 이용할 수 있습니다. 

주요 고객사

*2016 - 2023, 7년 연속 LEADER 선정
Magic Quadrant for Application Security Testing 

KMS Technology 

솔루션 문의하기 


KMS Technology는 

SW보안 및 품질 분야 전 세계1위 솔루션을 

국내에 공급하며 기술지원하고 있습니다. 


국내 대기업, 중소기업 및 공공기관 등 
다양하고 풍부한  레퍼런스를 보유한만큼 

기업별 여건에 맞는 구축 및 운영 방안을 제시해드립니다.