Code Sight with Black Duck SCA

已于 2022-02-11 15:18:47 修改
阅读量590 收藏 1
点赞数 1
分类专栏: # 安全测试 文章标签: blackduck
于 2022-02-11 15:12:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_31295661/article/details/122881211
版权

欢迎来到 Code Sight

Synopsys Code Sight 提供了一种运行 Synopsys 扫描工具的便捷方式,有助于提高源代码的安全性和可靠性。

Code Sight 显示它在您正在使用的开发环境的界面中运行的扫描结果。

有关详细信息,请参阅以下部分:

Code Sight with Black Duck SCASynopsys is proud to announce Black Duck SCA (software composition analysis) tools in the Code Sight plug-in. These tools help maintain OSS security compliance by identifying known vulnerabilities in OSS components and policy violations.. Once installed, Black Duck SCA tools can work alongside Coverity tools to add coverage for vulnerable OSS components.. After installation, your first Black Duck scan will begin as soon as you open a file. The scan will run in the background to identify policy violations and vulnerable components listed in build configuration files.Click a component in the issue list.. This component shows 3 issues detected. There are 2 security vulnerabilities and 1 policy violation. Each can be expanded to provide more detail, such as descriptions and links to Black Duck KnowledgeBase entries.. The Fix It button provides access to instructions for the vulnerability. Once the vulnerability is fixed, you can Re-Scan to confirm your scan is up to date.Click Fix It.. Software component issues are typically resolved by upgrading to a newer component version, or switching to a different component. This is normally updated via the build configuration file.. When supported, you have the option to Auto-fix, otherwise manual advice is always provided to resolve the issue. Auto-fix will upgrade to the recommended component version and then re-scan.Click Fix and Rescan.. After a change is made to your configuration file and saved, you will see Black Duck running a new scan. This scan will check the current component versions and any no longer used versions will be removed from the issues list.. You have resolved this OSS issue and it has disappeared from the list. Nice work!. If you ever wonder how current your Black Duck SCA scan results are, you can check them in Status > Scans. Click Status.. The Scans view shows all of your recent scan results and current status. At the bottom, you can see that a Black Duck full scan just completed successfully.. The Code Sight plug-in with Black Duck SCA allows you to easily manage open source software components. It automatically finds policy violations, vulnerabilities in OSS components, and notifies you in the IDE so that they can be fixed immediately.. Thank you. You can find more information on Code Sight at the link below.https://sig-docs.synopsys.com/codesighthttps://www.iorad.com/player/1759098/Code-Sight-with-Black-Duck-SCA?#trysteps-3

Support MatrixThese tables show the IDEs, platforms, and Synopsys products that support the current release of Code Sight.https://sig-docs.synopsys.com/codesight/topics/support_matrix/r_code_sight_support_matrix.html

bulabula2022
关注
专栏目录
使用 Synopsys Detect (Desktop桌面版)详解
baidu_31295661的博客
03-01 556
背景 Synopsys Software Integrity Group (SIG) 提供了一套全面的服务和工具,可在客户的安全历程中为其提供支持。从刚开始筹备安全性的客户,到对成熟计划进行强化的客户,SIG 拥有取得成功所需的专业知识、技能和产品。 使用 Black Duck,我们可以: 扫描代码并识别代码库中存在的开源软件。 查看为您的软件项目生成的材料清单 (BOM)。 查看已在开源组件中识别的漏洞。 评估您的安全性、许可证和操作风险。 Protex 用户可以使用 Black Duck
安全工具 | 软件成分分析工具Black Duck,业界排名TOP 1的SCA工具
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-18 3424
在现代的 DevOps 或 DevSecOps 环境中,SCA 激发了“左移”范式的采用。提早进行持续的 SCA 测试,使开发人员和安全团队能够在不影响安全性和质量的情况下提高生产力。前期在博文中介绍了SCA的产生背景、技术原理及主流检测工具,本文结合博主对Black Duck工具的深度使用来展开介绍业界排名 Top 1 的Black Duck工具。
blackduck,黑鸦binary二进制模式扫描jenkins配置
baidu_31295661的博客
12-30 2499
1.jenkins安装插件:Synopsys Detect 地址:Synopsys Detect | Jenkins plugin 2.配置插件 --blackduck.url=https://blackduck.swtools.XXXX.com --blackduck.api.token=公司blackduck官网的访问密钥,一般密钥获取地址:https://blackduck.swtools.XXXX.com/api/current-user/tokens --blackduck.tru.
jenkins集成blackduck,黑鸦sourcecode源码模式扫描配置
baidu_31295661的博客
12-30 3115
--blackduck.url=https://blackduck.swtools.XXXX.com --blackduck.api.token=公司blackduck官网的访问密钥,一般密钥获取地址:https://blackduck.swtools.XXXX.com/api/current-user/tokens --blackduck.trust.cert=true --detect.project.name="工程名" --detect.project.version.name=版本名 -...
blackduck issue fix
wuyujin1997的博客
02-19 1039
你在一个前端nodejs项目中使用到了好多个依赖包,其中某几个依赖包的某些版本是有风险的。但是要调整版本的依赖数量太多的时候,人工+重复的工作模式只能成为历史,这个公司已经为之付费过、用于扫描要上线项目的扫描工具,也是你的工具。,用扫描结果来限制你的上线动作(项目上线前必须修改某某问题)。如果你公司对于要上线的项目有风险扫描这一步,那同时应该会配备。,而且要调整版本的依赖数量也不多,很快就可以搞定。需要提供一个你的邮箱,用于接收验证链接。长期使用的话,这个服务是收费的。文件中涉及到的依赖的。
Black Duck hub用户指导书
03-01
Black Duck Hub 用户指导书 Black Duck Hub 是一个功能强大的软件组件管理平台,旨在帮助开发者和企业更好地管理开源软件组件。下面是根据用户指导书生成的相关知识点: 一、黑鸭湖Hub 简介 Black Duck Hub 是一...
blackduck-installer:在Docker Swarm上安装Black Duck的实用程序应用程序
05-26
概述 建造 在哪里可以获得最新版本? 文献资料
Python库 | blackduck-0.0.34.tar.gz
03-01
在本案例中,我们关注的是名为`blackduck-0.0.34.tar.gz`的压缩包,它包含了一个Python库的源代码。这个库被称为Black Duck,可能与开源代码合规性和安全检测有关。 Black Duck,通常指的是Synopsys公司的Black ...
java8看不到源码-docker-blackduck:BlackDuck泊坞窗设置
06-04
java8 看不到源码 Docker 镜像 这个 repo 将包含 docker 图像 当前可用版本: ...philipssoftware/blackduck:6 ...philipssoftware/blackduck:6 ...:/code philipssoftware/blackduck:6 ...--blackduck.url=
PyPI 官网下载 | blackduck_results-1.0.4.tar.gz
01-09
《PyPI官网下载的"blackduck_results" Python库解析》 在Python的开发环境中,PyPI(Python Package Index)是全球最大的Python软件仓库,开发者可以在这里发布和获取各种Python库。"blackduck_results-1.0.4.tar....
「 网络安全常用术语解读 」软件成分分析SCA详解:从发展背景到技术原理再到业界常用检测工具推荐
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-15 3572
软件成分分析(Software Composition Analysis,SCA)是一种用于识别和分析软件内部组件及其关系的技术,旨在帮助开发人员更好地了解和管理其软件的构建过程,同时可帮助安全人员揭秘软件内部结构的神秘面纱。SCA技术的发展与软件行业的快速发展密不可分,下面将介绍SCA的发展背景、技术原理以及当前主流SCA工具。
开源组件审计在并购尽职调查中不可或缺
SIGinChina的博客
09-12 349
作者: 黑鸭按需审计部门市场营销总监Shandra Gemmiti 注:美国新思科技公司  (Synopsys, Nasdaq: SNPS)已经于2017年第四季度完成对黑鸭子软件公司(Black Duck Software)的收购。   在并购交易中,无论是开展尽职调查以满足供应链或客户要求,还是内部开源合规性检查,都需要扫描和评估开源组件。而且,出售方也需要预测到买家会考量到...
源码漏洞扫描工具
yaka的专栏
04-27 1万+
1.HP fortify  SCA 扫描工具 主要是提供源码级别的安全漏洞扫描,可以输出完整的漏洞报告。支持业界主流的编程语言,支持各种操作系统平台,也能够支持集成在主流的IDE中。  对于java而言,只要有源代码即可完成扫描,对于C++而言,就比较痛苦一些,需要编译通过才允许对工程进行扫描。   扫描的原理是先把源码编译为fortify的中间语言代码,然后使用SCA分析引擎根据安全
【jenkins】Synopsys Detect入门简介
baidu_31295661的博客
02-19 1598
1、Synopsys Detect 的基本工作原理 Synopsys 检测运行 通常,它由 Synopsys Detect 检测器组成,该检测器使用项目的包管理器导出软件项目中的依赖层次结构,运行 Black Duck 签名扫描仪,并将结果上传到 Black Duck 进行分析。 检测脚本 Synopsys Detect脚本的主要功能是下载并执行 Synopsys Detect JAR 文件,从而启用扫描。 您可以使用以下命令下载并运行最新版本的 Synopsys Detect,然后添加.
Blackduck
davidliuzkw的博客
01-18 4735
官方解释,很清楚: 黑鸭 Hub 可持续扫描您的代码来识别具 体的开源库和版本。通过从国家漏洞数据库 (NVD) 和更全面、更及时的漏洞数据库 VulnDB 中定期更新,黑鸭® 知识库™ 将开源库与有关漏洞、许可、社区活动和版本的元数据进行映 射。 黑鸭 Hub 持续扫描您的项目以发现新引入的开源,帮助您管理安全漏洞,以防它们演变成 问题。通过它,您可以查看漏洞并进行优先排序,指定修复日期,并追...
BlackDuck 2018版 操作说明 简介与离线数据库下载(黑鸭子 Black Duck)
weixin_41751104的博客
05-01 7157
请加微信号 abcd98865328 获取BlackDuck技术支持,包括二次开发,试用,集成,文档与接口服务等等 Black Duck 是开源代码审计和管理领域的领导者,BlackDuck 软件分为protex、Codecenter、和Export,其中Protex 是用于代码扫描的,可以帮助用户发现自己的源代码中是否含有开源软件代码,以及是否有知识产权方面的风险。Coedcenter 是帮助用...
《痞子衡嵌入式半月刊》 第 42 期
痞子衡嵌入式
10-17 449
痞子衡嵌入式半月刊: 第 42 期 这里分享嵌入式领域有用有趣的项目/工具以及一些热点新闻,农历年分二十四节气,希望在每个交节之日准时发布一期。 本期刊是开源项目(GitHub: JayHeng/pzh-mcu-bi-weekly),欢迎提交 issue,投稿或推荐你知道的嵌入式那些事儿。 上期回顾 :《痞子衡嵌入式半月刊: 第 41 期》 唠两句 下周六是霜降,历史上的今天:1990年10月...
如何使用VSCode插件codesight扫描出前端项目的风险依赖包并借助 npm-force-resolutions 修复之?blackduck issue fix
wuyujin1997的博客
02-19 447
从此之后,前端项目依赖包有风险,再也不用直接手动改。
VScode和SourceInsight,到底哪个看源码爽?
热门推荐
Mculover666的博客(嵌入式)
02-26 5万+
在做嵌入式Linux开发的时候,经常会阅读大型工程源码,比如uboot源代码,Linux Kernel源码等,所以,选择一个合适的工具来阅读源代码,变为了一个经久不衰的话题。 阅读源码的时候,其实无非也就两个重要的功能: ① 定义或者声明快速跳转 ② 快速搜索指定内容 另外还有一些功能是和开发体验相关的,比如: ① 工具的主题(亮色和暗色) ② 工具是否方便修改编辑内容 ③ 工具是否还提供其...
blackduck下载安装
05-26
Black Duck是一种用于管理开源软件的工具,它可以帮助您识别您的软件中使用的开源组件,并提供有关这些组件的安全和法律信息。以下是Black Duck的下载和安装步骤: 1. 前往Black Duck官网并注册账号:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值