세계 최초 오픈소스 검증 솔루션  

소프트웨어 구성요소 분석 솔루션 (SCA)

보안 취약점 및 라이선스 점검 1위 솔루션

Black Duck

오픈소스 관리(라이선스, 보안취약점 점검)

SBOM

코드베이스/바이너리 분석

컨테이너 이미지 분석


 알려진 보안 취약점(CVE) 탐지 및 오픈소스 라이선스 점검

 Synopsys에서 추가 보안취약점 DB(BDSA) 제공

오픈소스 컴포넌트 자동식별 및 오픈소스 의존성 분석
 코드베이스 뿐만 아니라 바이너리 및 컨테이너 이미지 분석 지원

 오픈소스의 일부분을 차용하는 'code snippet' 탐지 가능

 SBOM(소프트웨어 명세서) 기능 지원(SPDX, Cyclone DX) 

Black Duck은 소프트웨어 개발 시 사용된 오픈소스를 식별하고, 식별된 오픈소스의 보안 취약점과 라이선스를 점검 및 관리하는 도구로서, 오픈소스 사용 시 발생할 수 있는 보안 취약점 및 라이선스 위반 리스크를 최소화하는 오픈소스 점검 솔루션입니다.


상용 애플리케이션과 벤더 공급 바이너리, 기타 서드파티 소프트웨어의 구성에 대한 SBOM의 가시성을 높일 수 있으며 조달, 운영 및 개발팀의 보안 품질 역량을 강화할 수 있습니다. 또한, 소프트웨어 공급망과 애플리케이션 수명 주기 전반에 걸쳐 오픈소스를 관리할 수 있도록 지원합니다.


Black Duck 주요 기능

탐색 (Detect)
  • 식별 : 의존성, 코드베이스, snippet, 바이너리 및 컨테이너에서 오픈소스 식별
  • 탐지 : 일부 수정되거나 정확히 매치된
    오픈소스 컴포넌트를 탐지
  • 자동화 : DevOps에 연동하여 스캔, 분석 자동화
보호 (Protect)
  • 비교 : 발견된 오픈소스 컴포넌트를 방대한
    KnowledgeBase DB에 비교
  • 분석 : 오픈소스 컴포넌트의 라이선스 및 알려진 보안취약점 제공
  • 모니터링 : 새로 발견된 보안취약점이나 개발 및 생산 과정에서 발견된 보안취약점을 모니터링
관리 (Manage)
  • 정책 설정 및 시행 : Policy 기능을 이용하여 정책을 설정하고 시행하여 위반시 대처방안 확인
  • 자동화 : DevOps 통합하여 지속적으로 프로젝트를 추적 관리 자동화
  • 오픈소스 사용 관리 : 오픈소스 컴포넌트를 사용하는 프로젝트 관리가 가능하여 급작스러운 보안취약점 이슈 발생시 대응 지원

Black Duck에서 제공되는

Knowledge Base

오픈소스 업계에서 가장 포괄적인 오픈소스 프로젝트, 라이선스 및 보안취약점 정보 데이터베이스로서 Synopsys의 사이버 보안 연구센터(CyRC)에서 관리하고 있습니다.


2,750+

오픈소스 라이선스



208,000+

보안취약점



6,300,000+

오픈소스 프로젝트



세계 최초 오픈소스 검증 솔루션  | 소프트웨어 구성요소 분석 솔루션 (SCA) | 보안 취약점 및 라이선스 점검 1위 솔루션

Black Duck

오픈소스 관리(라이선스, 보안취약점 점검) |SBOM | 코드베이스/바이너리 분석 | 컨테이너 이미지 분석

 알려진 보안 취약점(CVE) 탐지 및 오픈소스 라이선스 점검


 Synopsys에서 추가 보안취약점 DB(BDSA) 제공


 오픈소스 컴포넌트 자동식별 및 오픈소스 의존성 분석


 코드베이스 뿐만 아니라 바이너리 및 컨테이너 이미지 분석 지원


 오픈소스의 일부분을 차용하는 'code snippet' 탐지 가능


SBOM(소프트웨어 명세서) 기능 지원(SPDX, Cyclone DX)

Synopsys Black Duck® 소프트웨어는 소프트웨어 개발 시 사용된 오픈소스를 식별하고, 식별된 오픈소스의 보안 취약점과 라이선스를 점검 및 관리하는 도구로서, 

오픈소스 사용 시 발생할 수 있는 보안 취약점 및 라이선스 위반 리스크를 최소화하는 오픈소스 점검 솔루션입니다. 


상용 애플리케이션과 벤더 공급 바이너리, 기타 서드파티 소프트웨어의 구성에 대한 SBOM의 가시성을 높일 수 있으며 

조달, 운영 및 개발팀의 보안 품질 역량을 강화할 수 있습니다. 

또한, 소프트웨어 공급망과 애플리케이션 수명 주기 전반에 걸쳐 오픈소스를 관리할 수 있도록 지원합니다. 


Black Duck®  주요 기능


탐색 (Detect)



  • 식별
    의존성, 코드베이스, snippet, 바이너리 및 
    컨테이너에서 오픈소스 식별
  • 탐지
    일부 수정되거나 정확히 매치된
    오픈소스 컴포넌트를 탐지
  • 자동화
    DevOps에 연동하여 스캔, 분석 자동화


보호 (Protect)
  • 비교
    발견된 오픈소스 컴포넌트를 방대한
    KnowledgeBase DB에 비교
  • 분석
    오픈소스 컴포넌트의 라이선스 및 알려진
     보안취약점 제공
  • 모니터링
    새로 발견된 보안취약점이나 개발 및 생산 과정에서 발견된 보안취약점을 모니터링

관리 (Manage)
  • 정책 설정 및 시행
    Policy 기능을 이용하여 정책을 설정하고 시행하여 위반시 대처방안 확인
  • 자동화
    DevOps 통합하여 지속적으로 프로젝트를 
    추적 관리 자동화
  • 오픈소스 사용 관리
    오픈소스 컴포넌트를 사용하는 프로젝트 관리가 
    가능하여 급작스러운 보안취약점 이슈 발생시 
    대응 지원


Black Duck® 에서 제공되는 KnowledgeBase

오픈소스 업계에서 가장 포괄적인 오픈소스 프로젝트, 라이선스 및 보안취약점 정보 데이터베이스로서 Synopsys의 사이버 보안 연구센터(CyRC)에서 관리하고 있습니다.


2,750+

오픈소스 라이선스



208,000+

취약점



6,300,000+

오픈소스 프로젝트




Black Duck® 의 특장점


오픈소스 관리를 위한 통합 솔루션 



검증된 오픈소스 관리 소프트웨어


업계 최고 20년, 
시장점유율 약 90%




  전세계 약 90%의 시장

       점유율


  업계 최고 20년 노하우


  오픈소스 라이선스 및

       보안취약점 동시 탐지


 소스코드와 바이너리

      동시 분석











방대한 Knowledge DB


오픈소스 라이선스 및 자체 보안취약점 DB(BDSA) 구축




20년간 축적된 오픈소스

       라이선스 및 보안취약점

       DB


  CVE, NVD 알려진 보안

       취약점과 CVE보다 빠른

       보안 취약점 정보 제공

       (BDSA)


  최대 규모 오픈소스 보안

       리서치팀이 DB 업데이트


자체 전담 보안 연구소

      운영


CVSS 2.0/3.x Scoring

      정보



다양하고 정교한 알고리즘


자동식별, snippet, 
바이너리, 의존성 탐지




  업계 유일의 Multifactor

       식별 솔루션


  false positives /      

       negatives 최소화

       알고리즘 


  Snippet(오픈소스 파편)

       검출 알고리즘 지원 


  소스코드와 바이너리

       분석 알고리즘 지원


 Package Manager

      지원을 통한 의존성있는 

      오픈소스 탐지 




오픈소스 R&D 및 
커뮤니티 지원


업계 최대 규모 R&D 및 
오픈소스 커뮤니티 운영




신뢰할 수 있는 SW 기업

      Synopsys의 기술 개발


지속적인 제품 개발 및

      Roadmap 제시


체계적인 국내 기술 지원

      체계 


  축적된 노하우를 

       바탕으로 오픈소스

       커뮤니티 운영








Black Duck®  주요 핵심 기능

#1. Black Duck 핵심 기능

- Black Duck Binary Analysis(BDBA)로 컨테이너의 오픈소스 취약점 찾기 (한글자막)

#2. Black Duck 핵심 기능

- Black Duck Security Advisories를 통한 더욱 강화된 CVE 취약점 정보 제공 (한글자막)

#3. Black Duck 핵심 기능 

- Black Duck SCA로 안전하고 규정을 준수하는 고품질

  OSS 구성 요소 찾기 (한글자막)

#4. Black Duck 핵심 기능 

- Black Duck SCA를 활용한 오픈소스 보안, 품질 및 

  라이선스 위험성 이해하기 (한글자막)

#5. Black Duck 핵심 기능 

- Black Duck SCA로 30초 이내에 SBOM 구축하기 

  (한글자막)


Black Duck®  소개 동영상

#1. SCA 분석 도구 - "Black Duck®(블랙덕)"
- OSS 분석기법, 점검 방안

#2.  SCA 분석 도구 - "Black Duck®(블랙덕)"
- OSS 분석기법, 점검 방안


산업별 주요고객 


Defense & 
Government
IoT &
Manufacturer
Enterprise &
Finance
Software &
Security
Automotive &
Telecom

*2016 - 2023, 7년 연속 LEADER 선정
Magic Quadrant for Application Security Testing 

Black Duck®

FAQ

도입오픈소스 식별의 목적은 리스크 여부 확인 및 고지의무 이행에 있을텐데요. Dependency 걸려있는 OSS들에 대한 고지 방안을 고려한 기능을 제공하나요?

현재 오픈 소스와 관련한 활동을 가장 잘하고 계신 것으로 보입니다. 블랙덕은 자체 보안 조직에서 취약점 문제 해결을 제시하기도 하지만 대부분 오픈 소스 커뮤니티에서 나오는 정보와 NVD의 정보를 취합하여 정보를 제공합니다.

그리고 블랙덕에서 취약점에 대한 버전 정보, workaround  및 수정내용등을 알려주기 때문에 직접 찾으신것보다 실제로 시간을 훨씬 단축시킬수 있습니다.

KMS Technology 

솔루션/제품 문의하기 


KMS Technology는 

SW보안 및 품질 분야 전 세계1위 솔루션을 

국내에 공급하며 기술지원하고 있습니다. 


국내 대기업, 중소기업 및 공공기관 등 
다양하고 풍부한  레퍼런스를 보유한만큼 

기업별 여건에 맞는 구축 및 운영 방안을 제시해드립니다.