오픈소스 거버넌스

Synopsys BLACKDUCK 제품 개요

BLACKDUCK은 복잡하고 현대적인 소프트웨어 공급망과 관련된 지속적인 리스크를 관리하는 데 유용한 SCA(소프트웨어 구성 분석) 솔루션입니다. Third Party에서 공급된 소프트웨어, Vendor-supplied 바이너리, 그리고 상용 애플리케이션의 구성에 대한 가시성과 통찰력으로 구매팀, 운영팀, 개발팀의 역량을 강화합니다.

오픈소스 관련 리스크의 형태 

조직마다 중요 비즈니스 인프라의 혁신에 속도를 더하고 효율성을 증진하기 위해서는 다양한 공급업체의 시스템과 소프트웨어를 이용해야 합니다. 이들이 한층 개선되고 빠른 기술을 요구함에 따라 타사 컴포넌트의 복합 소프트웨어 공급망에 대한 의존도가 점증하고 있는데, 이러한 접근법에는 장점도 있지만 상당수의 문제점도 발견됩니다

• 소프트웨어 패치워크 : 거의 모든 소프트웨어에는 내부 개발 컴포넌트와 COTS(상용 기성) 코드, FOSS(자유-오픈 소스 소프트웨어)를 비롯한 타사 컴포넌트가 포함되는데, 이들은 소싱 시 보안을 염두에 두는 경우가 드물고 취약점을 내포할 때가 많습니다.
• 책임 이양 : 소프트웨어 및 시스템 이용자는 종종 보안과 견고함이 상위 부서의 책임이라고 잘못 생각하기도 하며, 확인되지 않는 소프트웨어 공급망의 위험을 감수하기도 합니다.
• 최초 해킹 지점 : 취약한 타사 소프트웨어로 인해 공급망에서 연결고리의 약점이 드러나고, 바로 여기서 해커의 침입 지점이 발생합니다.

Synopsys BLACKDUCK 제품 핵심 기능 

거의 모든 대상을 스캔 가능

BLACKDUCK은 완전한 소프트웨어 BoM(Bill of Material)을 빠르게 작성해 타사의 컴포넌트와 오픈소스 컴포넌트를 추적할 수 있고, 더불어 기존에 알려진 보안 취약점, 관련 라이선스, 코드 품질 리스크를 식별합니다. BLACKDUCK은 소스 코드 뿐 아니라 바이너리 코드까지 분석하므로 데스크톱·모바일 애플리케이션, 내장형 시스템 펌웨어 등을 비롯한 거의 모든 소프트웨어를 스캔할 수 있습니다. 

사용이 간편한 대시보드

BLACKDUCK에는 스캔한 소프트웨어의 구성과 전체적 건전성을 대략적으로 개괄하는 대화형 대시보드가 마련되어 있습니다. 대시보드 요약에는 다음이 포함됩니다.

• 소프트웨어 BoM(Bill of Material) : BLACKDUCK은 확인된 각 타사 컴포넌트 (버전, 위치, 라이선스 의무, 알려져 있는 취약점 등을 포함)에 관해 상세한 정보를 제공합니다.
• 취약점 평가 : BLACKDUCK은 독점형 첨단 엔진을 사용해 CVE 식별기 및 심각도를 포함한 NIST NVD의 각 취약성에 대한 향상된 정보를 제공할 수 있습니다.
• 오픈소스 라이센스 보고서 : BLACKDUCK은 소프트웨어 라이선스 비 준수 문제 방지에 유용하며, 해당하는 라이선스와 잠재적 충돌 사항을 식별하도록 지원합니다.

Synopsys BLACKDUCK 제품 주요 이점 

BLACKDUCK 사용자는 소스 코드 액세스 없이도 소프트웨어를 분석하고 소프트웨어 공급망의 취약 연결고리를 빠르고 간편히 식별할 수 있습니다. 

• 단 몇 분 만에 거의 모든 소프트웨어/펌웨어 스캔 가능 : 기본적으로 데스크톱·모바일 애플리케이션, 내장형 시스템 펌웨어, 가상 어플라이언스 등을 비롯한 모든 소프트웨어나 펌웨어에 대해 가시성을 확보할 수 있습니다.
• 소스 코드 불필요 : 액세스하려는 소프트웨어를 업로드하기만 하면 되며, BLACKDUCK은 단 몇 분만에 바이너리/런타임 분석을 철저히 수행합니다. 이러한 블랙박스 기술로 해커의 취약점 탐지 접근법을 에뮬레이팅합니다.
• 포괄적 BoM(Bill of Material) 확보 : 모든 타사 소프트웨어 컴포넌트와 라이선스를 식별하고 카탈로그화 합니다.
• 리스크 프로파일 관리 : 이미 알려진 소프트웨어 컴포넌트 내부의 취약점과 라이센싱 의무를 식별해 소프트웨어 건전성을 진단합니다. 실제적 지표를 이용해 기술 이용과 구매에 관해서 풍부한 정보에 입각한 결정을 내릴 수 있습니다.
• 코드 붕괴 사전 방지 : 이전에 스캔한 소프트웨어에서 새로 발견된 취약점에 관해 자동으로 경고를 발생시킵니다.
• 유연한 딜리버리 모델 사용 : BLACKDUCK은 클라우드 기반 서비스 및 온프레미스 어플라이언스로 이용할 수 있습니다.

Synopsys BLACKDUCK 제품 차별점 

Synopsys는 개발팀이 안전하고 우수한 소프트웨어를 구축하고 위험을 최소화하면서 속도와 생산성을 극대화 할 수 있도록 지원합니다. 정적분석, 소프트웨어 구성 분석 및 애플리케이션 보안 테스트 분야의 공인된 선두업체인 Synopsys는 독점 코드, 오픈소스 및 런타임 환경 전반에서 모범 사례를 적용할 수 있는 독보적인 입지를 갖고 있습니다. 업계를 선도하는 도구와 서비스, 전문 기술을 결합하여 조직이 소프트웨어 개발 라이프 사이클 전반에 걸쳐 DevSecOps의 보안 및 품질을 극대화할 수 있도록 돕고 있는 곳은 Synopsys밖에 없습니다