ጥቁር ዳክዬ

የሶፍትዌር ቅንብር ትንተና

በሁሉም የሶፍትዌር አቅርቦት ሰንሰለት ውስጥ ክፍት ምንጭን ይጠብቁ እና ያቀናብሩ

አልቋልview

ብላክ ዳክ በመተግበሪያዎች እና በመያዣዎች ውስጥ ክፍት ምንጭን በመጠቀም የሚመጡ የደህንነት ፣ የፍቃድ ማክበር እና የኮድ ጥራት አደጋዎችን ለመቆጣጠር አጠቃላይ መፍትሄ ነው። በፎርስተር የሶፍትዌር ቅንብር ትንተና (SCA) መሪ ተብሎ የተሰየመው ብላክ ዳክ በሶፍትዌር አቅርቦት ሰንሰለት እና በመተግበሪያው የህይወት ዑደቱ በሙሉ እንዲቆጣጠሩት የሚያስችልዎ በሶስተኛ ወገን ኮድ ውስጥ ተወዳዳሪ የሌለው ታይነት ይሰጥዎታል።

ለ ምንጭ እና ሁለትዮሽ የተቀናጀ መፍትሄ

ብላክ ዳክ ብቻ ሁለገብ የክፍት ምንጭ ስጋት አስተዳደርን ከጥልቅ ሁለትዮሽ ፍተሻ ጋር በማዋሃድ ከክፍት ምንጭ እና ከሌሎች የሶስተኛ ወገን ሶፍትዌሮች ጋር የተዛመዱ ስጋቶችን ለመቀነስ የሚያግዝ እጅግ በጣም ጥሩ የሆነ SCA መፍትሄ ይሰጣል። በነበረበት ዘመን ክፍት ምንጭ ከአማካይ የኮድ ቤዝ 70% ይይዛል, ብላክ ዳክ የእርስዎን ልማት፣ ስራዎች፣ ግዥ እና የደህንነት ቡድኖች የሚከተሉትን እንዲያደርጉ ኃይል ይሰጥዎታል፡-

• የደህንነት ድክመቶችን ይፈልጉ እና ያስተካክሉ በእያንዳንዱ stagሠ በኤስዲኤልሲ፣ በዝርዝር፣ በተጋላጭነት-ተኮር የማሻሻያ መመሪያ እና ቴክኒካዊ ግንዛቤ።
• የክፍት ምንጭ ፍቃድ አለማክበር ስጋትን ያስወግዱ እና ከ2,650 ፍቃዶች ውስጥ የትኞቹ ክፍት ምንጮች በመተግበሪያዎችዎ ውስጥ አግባብነት እንዳላቸው ለመለየት የኢንደስትሪውን ትልቁን የክፍት ምንጭ እውቀት መሰረት በመጠቀም የአእምሮአዊ ንብረትዎን ይጠብቁ (ከትላልቅ አካላት የኮድ ቅንጥቦችን ጨምሮ)።
• የእድገት ወጪን ከመጠን በላይ እና የመዋጋት ኮድ መበስበስን ያስወግዱ ከደካማ የክፍት ምንጭ ኮድ ጥራት ጋር በተያያዙ የአሠራር ስጋት መለኪያዎች።
• ማንኛውንም ሶፍትዌር፣ ፈርምዌር እና የምንጭ ኮድ ይቃኙ በውስጡ ያለውን አጠቃላይ የቁሳቁስ ሂሳብ (BOM) ለማመንጨት።
• ለአዳዲስ ተጋላጭነቶች በራስ-ሰር ይቆጣጠሩ እርማትን ለማፋጠን እና የአደጋ ተጋላጭነትዎን ለመቀነስ በብጁ ፖሊሲዎች እና የስራ ፍሰት ቀስቅሴዎች የእርስዎን BOM የሚነካ።
  1

ድክመቶችን በፍጥነት ያግኙ እና ያስተካክሉ

የጥቁር ዳክ ክፍት ምንጭ ደህንነት ስጋት ግንዛቤ ከህዝብ ምንጮች (ለምሳሌ NVD) እና ከሲኖፕሲ ሳይበር ደህንነት ጥናትና ምርምር ማዕከል (ሲአርሲሲ) የተገኘ ዝርዝር የባለቤትነት ትንታኔን ያጣምራል። አዳዲስ ተጋላጭነቶች በNVD ውስጥ ከመታተማቸው ከሳምንታት በፊት (የተጋላጭነት መስኮትዎን በመቀነስ) ማሳወቂያ ያግኙ እና ከኛ ልዩ የተሻሻለ የተጋላጭነት መረጃ እና የጥቁር ዳክዬ ደህንነት ምክሮች (BDSAs)፣ ጨምሮ፡-

• ወሳኝ የአደጋ መለኪያዎች፣ የተጋላጭነት-ተኮር ቴክኒካዊ ግንዛቤ፣ የብዝበዛ ዝርዝሮች እና የተፅዕኖ ትንተና
• CVSS 2 እና CVSS 3 የውጤት አሰጣጥ እና የCWE ምደባ ውሂብ
• የጋራ ጥቃት ጥለት ስሌት እና ምደባ (CAPEC)
• ጊዜያዊ ነጥብ በNVD አልቀረበም።
• የክፍለ-ደረጃ ማሻሻያ እና የማሻሻያ መመሪያ፣ ማቃለያ ምክንያቶች እና የማካካሻ ቁጥጥሮች
• የተጋላጭነት ተፅእኖ ትንተና የተጋላጭ ኮድ በመተግበሪያው እየተጠራ መሆኑን ለማወቅ
• ብጁ የተጋላጭነት ስጋት ነጥብ ከኩባንያዎ ስጋት ፕሮፐር ጋር ለማዛመድfile
• ድክመቶች በበርካታ ወሳኝ የውሂብ ነጥቦች ላይ ለመስተካከል ቅድሚያ ተሰጥተዋል፣ ይህም ክብደት፣ የመፍትሄ መገኘት፣ ብዝበዛ፣ CWE እና ተደራሽነት ጨምሮ

ደህንነትን በራስ-ሰር ያስፈጽሙ እና ፖሊሲዎችን ይጠቀሙ

የክፍት ምንጭ ደህንነትዎን ያዋቅሩ እና የፈቃድ አይነት፣ የተጋላጭነት ክብደት፣ የክፍት ምንጭ አካል ስሪት እና ሌሎችንም ጨምሮ አጠቃላይ መስፈርቶችን መሰረት በማድረግ ፖሊሲዎችን ይጠቀሙ። ለተፋጠነ የማስተካከያ ጅምር እና ሪፖርት አቀራረብ በራስ ሰር የስራ ፍሰት ቀስቅሴዎች፣ ማሳወቂያዎች እና ባለሁለት አቅጣጫ ጂራ ውህደት ፖሊሲዎችን ያስፈጽሙ።

ያለ ምንጭ ኮድም ቢሆን የክፍት ምንጭ ስጋቶችን ለይ

በመሳሪያ ኪትህ ውስጥ ብላክ ዳክ፣ በፍጥነት እና በቀላሉ በሻጭ የሚቀርቡ ሁለትዮሽዎችን መተንተን ትችላለህ በሶፍትዌር አቅርቦት ሰንሰለትህ ውስጥ ያሉ ደካማ አገናኞችን ምንጩ ኮድ ሳይደርሱበት ለመለየት። ስለ ቴክኖሎጂዎች አጠቃቀምዎ እና ግዥዎ እርስዎን አደጋ ላይ ከመጣልዎ በፊት በመረጃ ላይ የተመሰረተ ውሳኔ ለማድረግ ጥልቅ፣ ተግባራዊ ሊሆኑ የሚችሉ የአደጋ መለኪያዎችን ያግኙ። የብላክ ዳክ የማሰብ ችሎታ ያለው ስካን ደንበኛ የዒላማው ሶፍትዌር ምንጭ ወይም የተቀናበረ ሁለትዮሽ መሆኑን በራስ-ሰር ይወስናል፣ ከዚያም ሁሉንም የሶስተኛ ወገን የሶፍትዌር ክፍሎችን፣ ተያያዥ ፍቃዶችን እና መተግበሪያዎችዎን የሚነኩ የታወቁ ተጋላጭነቶችን ይለያል እና ያዘጋጃል።

2

ጥቁር ዳክዬ | ምንጭ እና ጥቅል አስተዳዳሪ መቃኘት

በመቃኘት ላይ

ቋንቋዎች

• C
• ሲ++
• C#
• ክሎጁር
• ኤርላንግ
• ጎላንግ
• ግሩቪ
• ጃቫ
• ጃቫስክሪፕት
• ኮትሊን
• መስቀለኛ መንገድ.js
• ዓላማ-ሲ
• ፐርል
• ፒዘን
• ፒኤችፒ
• R
• ሩቢ
• ስካላ
• ስዊፍት
• NET Cloud ቴክኖሎጂዎች

የጥቅል አስተዳዳሪዎች

• ኑጌት
• ሄክስ
• Vndr እ.ኤ.አ.
• ጎዴፕ
• ዲፕ
• ማቨን
• ግራድል
• ከሰዓት በኋላ
• CocoaPods
• ስፓንም።
• ኮንዳ
• ፒር
• አቀናባሪ
• ፒፕ
• ፓኬት
• RubyGems
• SBT

የBDBA ጥቅል አስተዳዳሪ ድጋፍ

• ዳይስትሮ-ጥቅል-አስተዳዳሪ፡ ከሊኑክስ ማከፋፈያ ፓኬጅ አስተዳዳሪ ዳታቤዝ የሚገኘውን የአካላት መረጃን ለማውጣት ይጠቀማል።
• የተቀሩት አራት ዘዴዎች ለጃቫ ባይት ኮድ ብቻ ተፈጻሚ ይሆናሉ፡-

–ፖም፡ የጃቫ ጥቅልን፣ የቡድን ስምን እና ሥሪትን ከፖም.xml ወይም pom.properties ያወጣል። fileበ JAR ውስጥ s file.

-አንጸባራቂ፡ የጃቫ ጥቅል ስም እና ሥሪት በMANIFEST.MF ውስጥ ካሉት ግቤቶች ያወጣል። file በ JAR file.

- ጃር -fileስም: የጃቫ ጥቅል ስም እና ስሪት ከጃር-fileስም.

–hashsum፡ የJAR sha1 ቼክሰም ይጠቀማል file ከሚታወቁት የማቨን ሴንትራል የተመዘገቡ የጃቫ ፕሮጄክቶች ለማየት።

ሁለትዮሽ ቅርጸቶች

• ቤተኛ ሁለትዮሽ
• የጃቫ ሁለትዮሽ
• NET binaries
• ሁለትዮሽ ይሂዱ

የማመቅ ቅርጸቶች

• ግዚፕ (.gz)
• bzip2 (.bz2)
• LZMA (.lz)
• LZ4 (.lz4)
• መጭመቅ (.Z)
• XZ (.xz)
• ጥቅል200 (.ጃር)
• UPX (.exe)
• ስናፕ
• አጥፋ
• zStandard (.zst)

የማህደር ቅርጸቶችን

• ዚፕ (.ዚፕ፣ .jar፣ .apk፣ እና ሌሎች ተዋጽኦዎች)
• XAR (.xar)
• 7-ዚፕ (.7z)
• አርጄ (.arj)
• TAR (.ታር)
• ቪኤም ታር (.ታር)
• ሲፒዮ (.ሲፒዮ)
• RAR (.rar)
• LZH (.lzh)
• ኤሌክትሮን መዝገብ (.asar)
• DUMP

የመጫኛ ቅርጸቶች

• ቀይ ኮፍያ RPM (.ደቂቃ)
• የዴቢያን ጥቅል (.ዴብ)
• ማክ ጫኚዎች (.dmg፣ .pkg)
• ዩኒክስ ሼል file ጫኚዎች (.sh, .bin)
• ዊንዶውስ ጫኚዎች (.exe፣ .msi፣ .cab)
• vSphere የመጫኛ ቅርቅብ (.vib)
• ቢትሮክ ጫኝ
• የሚደገፉ የመጫኛ ጀነሬተር ቅርጸቶች፡-

-7z፣ ዚፕ፣ rar ራስን ማውጣት .exe

- MSI ጫኝ

- CAB ጫኝ

- በማንኛውም ቦታ ጫን

-4J ጫን

- ጋሻ ጫን

- InnoSetup

- ብልህ ጫኚ

- ኑልሶፍት ስክሪፕት ሊደረግ የሚችል የመጫኛ ስርዓት (NSIS)

- ዋይክስ ጫኝ

Firmware ቅርጸቶች

• ኢንቴል HEX
• SREC
• ዩ-ቡት
• አሪስ firmware
• Juniper firmware
• Kosmos firmware
• አንድሮይድ ስፓርስ file ስርዓት
• Cisco firmware

File ስርዓቶች / የዲስክ ምስሎች

• ISO 9660 / UDF (.iso)
• የዊንዶውስ ኢሜጂንግ
• ext2/3/4
• JFFS2
• UBIFS
• RomFS
• የማይክሮሶፍት ዲስክ ምስል
• ማኪንቶሽ ኤች.ኤፍ.ኤስ
• VMware VMDK (.vmdk፣ .ova)
• QEMU ቅጂ-ላይ-ጻፍ (.qcow2)
• VirtualBox VDI (.vdi)
• QNX-EFS, IFS
• NetBoot ምስል (.nbi)
• FreeBSD UFS

የመያዣ ፎርማቶች

• ዶከር

ጥቁር ዳክዬ ብቻ

BDBA ብቻ

3

ጥቁር ዳክዬ | ውህደቶች

የደመና ቴክኖሎጂዎች

የደመና መድረኮች

• አማዞን Web አገልግሎቶች
• ጎግል ክላውድ መድረክ
• ማይክሮሶፍት Azure

የመያዣ መድረኮች

• ዶከር
• OpenShift
• Pivotal Cloud Foundry
• የኩበርኔትስ ጥቅል አስተዳዳሪዎች

የውሂብ ጎታዎች

• PostgreSQL

• ግርዶሽ
• ቪዥዋል ስቱዲዮ አይዲኢ

• ጄንኪንስ
• TeamCity
• የቀርከሃ
• የቡድን ፋውንዴሽን አገልጋይ
• ትራቪስ ሲ.አይ
• CircleCI
• GitLab CI
• ቪዥዋል ስቱዲዮ ቡድን አገልግሎቶች
• ኮንኮርስ CI
• AWS CodeBuild
• ኮድሺፕ

• ጂራ
• ስሌክ
• ኢሜይል
• SPDX

• አርቲፊሻል
• Nexus

• IBM AppScan
• የማይክሮ ትኩረት ማጠናከሪያ
• SonarQube
• ThreadFix
• ሳይብሪክ
• ኮድ Dx

4

የጥቁር ዳክ ሶፍትዌር ቅንብር ትንተና - የተሻሻለ ፒዲኤፍ
የጥቁር ዳክ ሶፍትዌር ቅንብር ትንተና - ኦሪጅናል ፒዲኤፍ

ዋቢዎች

• የተጠቃሚ መመሪያ