青蛙和鸭子，开源安全的哨兵

黑鸭软件开发的产品可以保护和管理应用程序和容器中的开源，hth华体会最新官方网站消除与开源相关的痛苦安全漏洞以及许可遵从性。的第十届年度开源未来调查他们在2016年进行了调查，提供的数据证明了我们已经知道的关于开源的许多事情。

首先也是最重要的是，“每个人”都在使用开源，或者正如调查结果所述……

“无处不在的全球开源软件开发是规则。”

该调查还揭示了使用开源的主要驱动力是免于厂商锁定。这也是JFrog的主要驱动力之一，也是我们所创造的一切都是通用的原因:

Artifactory,通用工件存储库管理器

Bintray,通用软件分发平台,

x光,因为通用工件的分析,

任务控制为通用存储库的管理。

大多数组织盲目地使用开源

但调查还显示，大多数组织对其开源软件缺乏可见性和控制。开源通过许多已知和未知的来源进入并在组织的应用程序代码中传播，包括开发人员、供应商和外部承包商。黑鸭按需服务进行的开源审计发现，平均而言，公司使用的开源数量是他们之前意识到的两倍，67%的应用程序包含已知的开源漏洞。

你需要一个看到光明的过程

为了消除围绕开源使用的“迷雾”，组织需要许多自动化和可重复的过程，而在大多数情况下，这些过程是不存在的。这些包括:

• 在新开放源代码进入代码流时检测和批准
• 盘点并跟踪开源软件在其代码库和Docker容器中的使用情况
• 识别或监控与他们使用的开源软件相关的已知开源漏洞(如Heartbleed, ShellShock等)
• 随着时间的推移编排或跟踪风险补救工作
• 评估使用不兼容许可条款的开源软件可能产生的诉讼和知识产权风险。
• 审计和执行开源安全策略和许可证遵从性。

所有这些过程现在都更容易实现与黑鸭Hub集成到JFrog x射线和黑鸭的二进制存储库集成插件JFrog Artifactory

x射线照亮了黑鸭枢纽前进的道路

x光的深度递归扫描获取Artifactory存储库中的包，并深入到最深层，以识别您正在使用的所有开源依赖项。Xray将这些依赖关系与它的全球漏洞数据库进行交叉引用，该数据库是从不同来源汇总的。

Black Duck Hub为组织提供开源风险管理软件开发生命周期(SDLC) -包括IDE、SCM、build、CI、二进制存储库和Docker容器。

通过Xray与Black Duck Hub的集成，您可以极大地扩展漏洞数据库，包括Black Duck的全面知识库(™)，其中包含超过2,000,000个开源项目和150,000个漏洞。你所需要做的就是在Xray的集成模块中输入你的黑鸭证书。

Black Duck与JFrog Artifactory和Xray的集成允许组织在SDLC的不同级别上管理构建输出扫描和存储库检查。在Artifactory Pro的存储库级别，或者在Xray的正式SDLC过程之外。构建输出扫描插件提供了监视构建的能力，并在开发过程的早期提供风险信息，例如，当需要监视开发人员的构建时。当企业拥有多个不同的SDLC工具集，且不可能在所有工具集之间进行统一集成时，Repository检查器插件提供了监视工件的能力。将Black Duck Hub集成到Xray中也可以通过Xray提供类似的功能。x射线扫描构建和工件在您的存储库根据手表你定义，交叉引用这些工件与它的全球数据库结合黑鸭知识库，以确定问题和漏洞，然后它可以生成相应的警报补救。

结合JFrog Xray和JFrog Artifactory与Black Duck Hub的强大功能，组织可以消除开源安全漏洞，满足许可证遵从义务并限制操作风险。

识别组件和开源安全风险

Xray自动跟踪Artifactory存储库中组件和Docker映像使用的开源。它将这些组件映射到其全球数据库和黑鸭知识库中报告的已知开源安全漏洞的组件，并监控许可证和组件质量风险。

自动修复和策略执行

轻松执行开源许可策略许可证过滤器定义，并通过简化执行在自动化CI过程早期进行干预如果在构建中检测到漏洞。

持续监控应用程序的新漏洞

Xray的全球数据库和Black Duck的知识库都聚合了多个漏洞数据源，因此您可以获得在生产应用程序中检测到的新漏洞的当天警报。通知可以通过x射线用户界面发布，通过电子邮件或调用webhook

在Xray和Black Duck的守护下，你对开源软件的使用被置于聚光灯下。您完全了解您的组织使用的所有开源组件，漏洞可以在SDLC的早期检测和修复，当检测到可能潜伏在您的生产系统中的新漏洞时，您会迅速收到通知，使用开源不仅无处不在，而且也很安全。