因應層出不窮的資安危機,美國白宮發出行政命令,要求所有向聯邦政府出售的軟體都必須提供「軟體物料清單」(Software Bill of Materials,簡稱 SBOM)
- 就像是食品標籤上的成分標示,載明軟體的組成、內部模組和完整的供應鏈
- 軟體包數據交換(SPDX)已經成為一項國際標準(ISO/IEC 5962:2021)
Black Duck 優勢
Black Duck 與其他 SCA 工具在五大面向的差異。
Black Duck
-
市場地位
全球領導象限
-
弱點情資BDSA
快速更新
-
檢測技術
Snippet Scan 精準
-
整合能力
完整 DevSecOps
-
合規支持
內建 ISO/PCI
其他工具
-
市場地位
新創/區域供應商
-
弱點情資
依賴 NVD,延遲
-
檢測技術
元件比對,誤報高
-
整合能力
API 為主,整合淺
-
合規支持
需自行整理