“As aplicações representam o principal alvo de ataques no mundo cibernético. Realizar a detecção e correção de vulnerabilidades de maneira eficaz está se tornando cada vez mais desafiador devido à complexidade e à velocidade de desenvolvimento das aplicações modernas.” Veja como a Black Duck pode ajudar a sua empresa nessa jornada.
Saiba mais aqui.
A Black Duck, anteriormente parte da Synopsys e agora operando como uma empresa independente, mantém sua posição de liderança em softwares e serviços voltados para o desenvolvimento seguro de aplicações.
Originada da divisão de Software Integrity Group (SIG) da Synopsys, a Black Duck continua a inovar no cenário DevSecOps, oferecendo soluções que permitem às equipes identificar e corrigir vulnerabilidades, integrando a segurança em todo o ciclo de desenvolvimento de software.
Nenhuma ferramenta sozinha cobre todo o SDLC. Por isso, é fundamental adotar uma abordagem integrada que utilize diversas técnicas de análise de segurança ao longo do ciclo de vida. A Black Duck oferece uma cobertura completa, desde o código proprietário até o código de terceiros, abrangendo também as aplicações em execução em ambientes de testes ou produção.
Conheça as soluções Black Duck
Veja as informações sobre cada uma das soluções Black Duck clicando nas abas abaixo:
O Coverity é uma ferramenta de SAST (Static Application Security Testing). Este tipo de ferramenta é projetada para analisar o código-fonte de uma aplicação em busca de vulnerabilidades de segurança e problemas com a qualidade do código. Veja abaixo algumas das principais características do Coverity.
Identificação de Vulnerabilidades: A ferramenta identifica uma ampla gama de vulnerabilidades conhecidas, incluindo problemas comuns como SQL Injection, cross-site scripting (XSS), e outras falhas de segurança. Também procura por erros de programação, como vazamentos de memória e uso indevido de variáveis.
Avaliação de Qualidade do Código: Além de encontrar vulnerabilidades de segurança, o Coverity SAST avalia a qualidade geral do código-fonte, identificando práticas ruins de programação, código redundante e problemas que podem afetar a confiabilidade e a eficiência do aplicativo.
Informações acionáveis: A ferramenta fornece informações detalhadas sobre as vulnerabilidades e problemas encontrados no código-fonte, incluindo detalhes técnicos, sugestões de correção, contexto e trechos de código que contribuíram para que a vulnerabilidade acontecesse, facilitando a análise e remediação do problema.
Integração no Ciclo de Desenvolvimento: O Coverity é frequentemente integrado ao ciclo de desenvolvimento de software (SDLC), em ferramentas de CI/CD e diretamente nas IDEs, permitindo que as equipes de desenvolvimento identifiquem e corrijam vulnerabilidades à medida que escrevem código, facilitando a construção de software seguro desde o início e integração no processo já existente da empresa.
- Número reduzido de falsos positivos: O Coverity é conhecido por ter a menor taxa de falsos positivos em ferramentas SAST devido à sua sofisticada análise estática de código que incorpora técnicas avançadas de redução de ruído e compreensão profunda do código, permitindo uma detecção mais precisa de vulnerabilidades e defeitos de programação.
Atualizações Contínuas: A ferramenta é atualizada regularmente para se manter atualizada com as mais recentes ameaças de segurança e técnicas de desenvolvimento. Isso garante que ela continue a ser uma ferramenta eficaz para proteger aplicativos contra ameaças em evolução.
- Flexibilidade de deployment: O Coverity possui flexibilidade no modelo de uso, seja ele On-Premises, na máquina do desenvolvedor através do plugin para IDEs Code Sight, ou como SaaS, através da plataforma Polaris fAST.
O Black Duck é uma ferramenta de SCA (Software Composition Analysis), projetada para abordar os desafios de segurança e conformidade relacionados ao uso de componentes de terceiros em desenvolvimento de software. Abaixo, destacamos algumas das principais características do Black Duck:
Identificação de Componentes: A ferramenta Black Duck SCA identifica e cataloga os componentes de terceiros usados em um projeto de software, rastreando suas versões e origens. Isso ajuda as equipes de desenvolvimento a entender quais bibliotecas e frameworks estão sendo incorporados em suas aplicações. O Black Duck detecta componentes através de diferentes técnicas para garantir que todo o open source que esteja sendo utilizado, será identificado, mesmo que não declarado ou importado via Package Manager.
Análise de Vulnerabilidades: A Black Duck possui uma equipe dedicada para identificação e análise de vulnerabilidades em Open Source (BDSA). Essa equipe realiza análises independentes do NVD (National Vulnerability Database), provendo assim resultados muito mais detalhados e em menor tempo em relação aos do NVD.
Conformidade de Licença: O Black Duck também avalia a conformidade de licenças de software de terceiros utilizados em seus projetos para garantir que eles estejam em conformidade com os termos de uso das bibliotecas e frameworks incorporados, de acordo com o tipo de projeto (Externo, Interno, Open Source, SaaS).
Integração com o Ciclo de Desenvolvimento: O Black Duck pode ser integrado diretamente ao ciclo de desenvolvimento de software (SDLC) e às ferramentas de integração contínua (CI/CD) e na IDE do desenvolvedor através do plugin Code Sight. Isso permite que as equipes identifiquem e resolvam problemas de segurança e licenciamento à medida que desenvolvem novos recursos e sejam alertadas caso novas vulnerabilidades apareçam para aqueles projetos já monitorados pelo Black Duck.
- Gerenciamento de políticas: Com o Black Duck, podemos definir políticas a nível de projeto, componentes ou vulnerabilidades, para garantir que estamos em compliance com as regras definidas pela empresa, e auxílio na priorização do que deve ser corrigido primeiro.
Atualizações e Suporte Contínuos: A ferramenta consulta da Black Duck Knowledge Base, que possui mais de 1.5 PetaBytes de informações de componentes e vulnerabilidades. Esta base é regularmente atualizada para se manter alinhada com as últimas ameaças de segurança e atualizações de componentes de terceiros, garantindo que as organizações estejam protegidas contra ameaças em constante evolução.
O Seeker é uma poderosa ferramenta de IAST (Interactive Application Security Testing) projetada para fornecer uma abordagem dinâmica e interativa para a identificação de vulnerabilidades em aplicações web e APIs. O Seeker realiza os seus testes de segurança em conjunto com os testes funcionais, manuais ou com ferramentas de automação, como Selenium. Abaixo, destacamos algumas das principais características e benefícios do Seeker:
-
Teste em Tempo Real: O Seeker opera em tempo real durante a execução da aplicação, permitindo que ele interaja com a aplicação, identificando e reportando vulnerabilidades e defeitos de segurança à medida que ocorrem.
-
Detecção Precisa de Vulnerabilidades: Utilizando técnicas de análise interativa avançada, o Seeker oferece uma detecção precisa de vulnerabilidades, minimizando falsos positivos e fornecendo resultados confiáveis.
-
Integração na Fase de Desenvolvimento: O Seeker pode ser integrado ao ciclo de desenvolvimento de software (SDLC) e às ferramentas de integração contínua (CI/CD) em conjunto com os testes funcionais das aplicações.
-
Suporte a Diversas Linguagens e Frameworks: A ferramenta é compatível com uma ampla variedade de linguagens de programação e frameworks, tornando-a flexível e adequada para diferentes tipos de aplicativos.
-
Análise Profunda de Vulnerabilidades: O Seeker identifica vulnerabilidades comuns, como SQL Injection, cross-site scripting (XSS), e outras ameaças de segurança, fornecendo informações detalhadas sobre a origem do problema e como corrigi-lo.
-
Integração com Testes Funcionais: O Seeker pode ser integrado com testes funcionais, o que o torna capaz de identificar vulnerabilidades enquanto os testes funcionais são executados. Isso significa que ele pode identificar e alertar sobre vulnerabilidades no contexto das funcionalidades da aplicação, proporcionando uma visão mais abrangente da segurança e da qualidade do software.
-
Definição de Políticas de Segurança: Os administradores podem configurar políticas de segurança personalizadas no Seeker para atender aos requisitos específicos da organização. Isso permite que as equipes definam as regras e os critérios que desejam aplicar ao escanear suas aplicações, garantindo que o Seeker atenda às necessidades de segurança específicas da empresa.
O WhiteHat™ Dynamic é uma solução de teste de segurança de aplicativos dinâmicos (DAST) projetada para atender aos requisitos de escala e velocidade das empresas modernas. Ele identifica rapidamente e com precisão vulnerabilidades em sites e aplicativos, oferecendo a escalabilidade e agilidade necessárias para avaliar os riscos de segurança em todo o seu portfólio de aplicativos.
-
Baseado na Nuvem: O WhiteHat™ Dynamic é entregue por meio de um modelo SaaS, simplificando a implementação e permitindo que você escale rapidamente para se adaptar às suas necessidades de teste de segurança em constante evolução.
- Production-safe: Você pode realizar analises em suas aplicações em produção, sem a necessidade de um ambiente de teste separado, garantindo a segurança sem interromper as operações. A tecnologia do WhiteHat garante que os testes realizados não trarão nenhum impacto na sua aplicação ou dados.
- Sempre Ativo: A varredura contínua garante que a ferramenta se adapte às alterações de código, testando automaticamente as novas funcionalidades à medida que são introduzidas.
- Verificado por Especialistas em Segurança: Todas as vulnerabilidades são verificadas por especialistas em segurança da Black Duck, eliminando efetivamente os falsos positivos.
- Alimentado por IA: A verificação habilitada por IA reduz significativamente os falsos positivos, ao mesmo tempo em que minimiza o tempo gasto na triagem de vulnerabilidades.
-
Resultados Verificados e Acionáveis com Quase Zero Falsos Positivos: Ao contrário de muitas ferramentas DAST que sobrecarregam as equipes de segurança e desenvolvimento com listas extensas de descobertas, exigindo triagem extensa para distinguir vulnerabilidades reais de falsos positivos, o WhiteHat Dynamic combina IA com análise de segurança especializada humana. Essa abordagem oferece os resultados mais precisos no menor prazo, aprimorando a eficiência e a eficácia.
-
Escalabilidade e Agilidade: O WhiteHat™ Dynamic é uma solução baseada na nuvem que não requer instalação de hardware ou software de varredura. Ele fornece avaliações ilimitadas, contínuas e simultâneas, detecta e analisa automaticamente alterações de código em aplicativos da web e oferece integração de API aberta com soluções de gerenciamento de informações e eventos de segurança, sistemas de rastreamento de bugs e firewalls de aplicativos da web.
- IA e Aprendizado de Máquina: O WhiteHat Dynamic utiliza aprendizado de máquina (ML), inteligência artificial (IA) e análise especializada de vulnerabilidades para oferecer resultados precisos de teste de segurança de aplicativos dinâmicos. Ele combina IA e ML com validação especializada, permitindo uma detecção mais precoce e uma resposta mais rápida a ataques cibernéticos.
O Software Risk Manager (SRM) é uma solução de Gestão da Postura de Segurança de Aplicativos (ASPM) que oferece uma visão unificada e completa dos riscos de segurança de aplicações, prioriza questões críticas, padroniza fluxos de trabalho de segurança e suporta conformidade com regulamentações específicas. É uma escolha poderosa para organizações que buscam melhorar a segurança de seus aplicativos em escala empresarial. Veja abaixo alguns diferenciais da solução.
-
Unificação de Ferramentas: O SRM integra-se com mais de 135 ferramentas, Black Duck ou não, incluindo SAST, DAST, SCA, IAST, segurança de rede, análise de containers, ferramentas de desenvolvimento, entre outras. Isso cria uma fonte única de registro de segurança de aplicações (AppSec), permitindo que as equipes rastreiem a eficácia da segurança por meio de painéis de controle com KPIs e análises de produtividade.
-
Visão Completa dos Riscos de AppSec: O SRM oferece uma avaliação uniforme de risco em todas as áreas da aplicação, incluindo código personalizado, de terceiros e de código aberto, além de componentes relacionados, como APIs, contêineres e microsserviços. Ele suporta mais de 20 padrões de conformidade, incluindo HIPAA, NIST e OWASP Top 10, permitindo que você mapeie descobertas específicas para padrões regulatórios, reduzindo o tempo necessário para auditorias.
-
Priorização de Questões Críticas: O SRM correlaciona, elimina duplicações e resume descobertas de ferramentas de AST manuais e automatizadas, priorizando correções de alto impacto com base no risco. Ele direciona questões críticas e violações de políticas para sistemas de Bug Tracking System e comunica defeitos críticos diretamente aos desenvolvedores.
-
Padronização de Fluxos de Trabalho de AppSec por meio de Políticas: O SRM pode definir e aplicar centralmente políticas de segurança em ferramentas e equipes. É possível designar quais questões críticas devem ser resolvidas primeiro e os parâmetros para a execução de testes. Controles podem ser incorporados em pipelines por meio da definição de políticas como código, automatizando a tomada de decisões em ambientes de desenvolvimento.
- Gestão de Conformidade: Além de priorizar vulnerabilidades, o SRM auxilia as organizações a atender a padrões de conformidade específicos, como HIPAA, NIST e OWASP Top 10. Isso simplifica a preparação para auditorias e garante que as práticas de segurança estejam alinhadas com as regulamentações aplicáveis.
-
Integração Contínua de Segurança (DevSecOps): O SRM se encaixa perfeitamente nas abordagens de DevSecOps, permitindo a automação de políticas de segurança como código e a execução de testes de segurança de forma contínua durante o ciclo de vida de desenvolvimento de software.
Code Sight: O Code Sight é um plugin altamente eficaz para IDEs que fornece análise de segurança de código em tempo real e integração com as ferramentas de SAST e SCA da Black Duck, permitindo que desenvolvedores identifiquem e corrijam vulnerabilidades de segurança durante o processo de codificação e verifiquem o que foi encontrado nas análises centrais. Veja abaixo os principais pontos em relação ao Code Sight.
-
Análise em Tempo Real: O Code Sight oferece análise contínua de segurança de código enquanto os desenvolvedores escrevem, permitindo a detecção imediata de vulnerabilidades e defeitos de programação à medida que eles ocorrem.
-
Integração Perfeita com IDEs: É facilmente integrado às principais IDEs, como Visual Studio, Visual Studio Code, Eclipse e IntelliJ IDEA, tornando-o uma extensão natural do ambiente de desenvolvimento dos desenvolvedores.
-
Identificação de Vulnerabilidades: Identifica uma ampla gama de vulnerabilidades de segurança, incluindo problemas comuns como SQL Injection, Cross-Site Scripting (XSS) e outras ameaças conhecidas.
-
Sugestões de Correção: Fornece sugestões de correção imediatas, juntamente com informações detalhadas sobre as vulnerabilidades encontradas, permitindo que os desenvolvedores tomem medidas corretivas rapidamente.
-
Redução de Custos de Correção: Ao identificar e corrigir vulnerabilidades durante o processo de codificação, o Code Sight ajuda a reduzir os custos associados à correção de problemas de segurança descobertos tardiamente no ciclo de desenvolvimento.
-
Aprimoramento da Segurança desde o Início: Facilita a construção de software seguro desde o início, incorporando a segurança diretamente no processo de desenvolvimento e evitando que vulnerabilidades sejam introduzidas.
-
SAST: Permite integração com as ferramentas da Black Duck, de modo a visualizar, além das vulnerabilidades escritas pelo desenvolvedor em tempo real, as vulnerabilidades encontradas pelo scan central das aplicações, facilitando a análise e correção pelo desenvolvedor.
- SCA: Visualização de componentes vulneráveis ou que violem políticas definidas pela organização.
Polaris Application Security Platform
Uma solução integrada de teste de segurança de baseada em nuvem, otimizada para as necessidades das equipes de desenvolvimento e DevSecOps.
- Fácil para os desenvolvedores integrarem e usarem
- Entrega de SaaS econômica, ágil e escalável
- Potentes mecanismos SAST, SCA e DAST inclusos
- Integra-se nativamente com ferramentas populares de DevOps
- Gerenciamento de políticas, relatórios e análises integrados
- Serviços especializados de triagem realizados pela Black Duck ajudam a reduzir ruido e priorizar vulnerabilidades mais importantes.
Gartner Magic Quadrant 2023
A Black Duck, anteriormente Synopsys SIG, é líder no Quadrante Mágico do Gartner® de 2023 em Application Security Testing (AST) pelo sétimo ano consecutivo.
Com base na sua capacidade de execução e abrangência de visão, a Black Duck está posicionada mais acima e mais à direita pela quinta vez consecutiva no Quadrante de Líderes entre os 12 fornecedores AST avaliados pela Gartner.
“Beneficiando-se de um portfólio AST abrangente e de bom desempenho, a Synopsys (Black Duck) obteve consistentemente boas pontuações em todos os casos de uso avaliados para esta análise.”
FCBR e a Black Duck
Com a recente transição da área de Software Integrity para uma empresa independente, a FCBr continua sendo um parceiro estratégico, garantindo suporte técnico e expertise em todas as fases dos projetos de segurança.
Entre em contato
Entre em contato com os nossos especialistas para conversar sobre os nossos produtos e serviços, realizar uma prova de conceito e entender como a FCBr e a Black Duck podem te ajudar.
Telefone
+55 11 95117-6020
contato@fcbr.com.br
Rua Enxovia, 472 – Cj. 1703 – Vila São Francisco
São Paulo/SP – Brasil – 04711-030