逾 15 年来,Black Duck 审计一直是业界十分值得信赖的解决方案,能够应对并购 (M&A) 和内部合规性开源尽职调查。极其注重速度和准确性的高科技企业和创业公司、私募股权公司和法律顾问选择 Black Duck,获取开源、安全、质量和合规性审计服务。
并购 (M&A) 交易运作过程中,代码所含内容至关重要。应用中未被发现的开源可能导致代价高昂的许可证违规。这些以及专有、开源和其他第三方软件中的安全漏洞可能会对软件资产的价值产生重大负面影响。
无论您是收购还是被收购,都需要一位审计合作伙伴提供快速、可信和全面的软件审计,以减轻这些风险。
Black Duck 软件审计提供公司所需的信息,以便快速评估收购目标软件或您自己软件中的各种软件风险。全面了解开源许可证义务、应用程序安全性和代码质量风险,以便您可以放心地做出明智的决策。
致电审计热线
+1 781.425.4444
也可以填写下表,就会有一位审计专家联系您。
开源和第三方代码审计利用 Black Duck KnowledgeBase™ 为您提供目标代码库的完整开源物料清单 (BoM),显示所有开源组件以及相关的许可证义务和冲突分析。
OSRA 基于开源和第三方代码审计构建而成,提供代码库中开源风险的增强视图,涵盖已知的安全漏洞和维护风险。它可以作为高级别行动计划,排定研究和潜在补救行动的优先顺序。
WSRA 为您列举了应用使用的外部 Web 服务,深入介绍了潜在的法律和数据隐私风险。汇总报告帮助您快速评估三个关键类别的 Web 服务风险:治理、数据隐私和质量。
渗透测试(文明黑客)审计通过检查处于完全运行状态的应用来评估软件资产的安全稳定性。包括试探性风险分析,以便绕过安全控制程序(如 WAF 和输入验证),以及滥用业务逻辑和用户授权的行为,从而演示黑客如何获取访问权并造成损害。
SAST 审计结合了基于工具的自动扫描和源代码审计,能够系统地发现重大软件安全漏洞,如 SQL 注入、跨站点脚本、缓冲区溢出以及 OWASP Top 10 未纳入的漏洞。
SDR 根据行业最佳实践评估关键安全控制的设计(包括密码存储、身份和访问管理以及加密算法的使用),以确定其是否有任何错误的配置、弱点、滥用或遗漏。 SDR 在应用程序设计中发现与安全控制相关的系统缺陷;不需执行应用程序或代码的测试或分析。
量化代码质量审计结合静态分析工具和手工代码审核,以分析代码质量。将结果与行业基准进行比较,以评估专有代码的质量、可重用性、可扩展性和可维护性。专家解释结果并且提供解决代码质量缺陷的建议。
定性代码质量审计提供对组成软件开发生命周期 (SDLC) 的流程和实践的完整分析。专家对少数关键人员进行深入访谈,以深入了解开发实践的质量和成熟度,包括代码编写标准、流程和工具。由此,他们提供一些建议来提高代码质量,同时降低开发和维护成本。
加密审计可识别专有、开源和其他第三方软件组件中的加密功能,以便您向政府监管机构披露适当的信息,从而确保符合出口法规并规避出口限制。这些审计还能帮助您确保产品中的加密代码符合您的企业安全要求。