文章核心观点 Synopsys公司宣布推出Black Duck Supply Chain Edition软件组合分析解决方案，可帮助组织降低软件供应链上游风险，具备多种功能并将在特定时间上市展示 [2] 产品介绍 - 可解决开源和商业依赖以及AI生成代码中的漏洞、许可证冲突和恶意代码问题 [1] - 结合多种开源检测技术、第三方软件物料清单（SBOM）自动分析和恶意软件检测，提供软件风险全面视图 [2] - 开发和安全团队可在整个应用程序生命周期跟踪依赖项，识别并解决安全漏洞、恶意软件包以及许可证违规和冲突问题 [2] - 基于Black Duck领先市场的能力构建，为构建安全合规应用程序的团队提供全方位供应链安全能力 [3] 推出背景 - 针对易受攻击或被恶意篡改的开源和第三方组件的软件供应链攻击增多，组织需了解并审查软件组合成分 [4] - 需要对从各种来源引入的软件依赖项保持警惕，并具备检测多种风险因素和生成可操作见解的能力 [4] 关键特性 - 多种开源检测技术：使用多种软件分析技术准确识别任何编程语言中的开源组件 [4] - 第三方SBOM导入和分析：导入第三方软件供应商的SBOM并自动编目其中的组件 [5] - 恶意软件检测：利用ReversingLabs技术进行构建后分析，检测恶意软件存在情况 [6] - 风险识别和缓解：持续监控生成和导入的SBOM中的开源漏洞、暴露的机密信息、恶意软件和恶意软件包 [7] - IP风险和许可证合规管理：自动识别依赖项关联的软件许可证，分析AI生成代码中的隐藏开源片段 [8] - 行业标准SBOM：以SPDX或CycloneDX格式导出包含所有依赖项的SBOM，满足相关要求 [9] 产品时间安排 - 4月25日全面上市 [10] - 5月6 - 9日在旧金山RSA会议的Synopsys Software Integrity Group展位（1027）展示 [10] 公司相关介绍 - Synopsys Software Integrity Group提供集成解决方案，加速创新并应对业务风险，拥有全面的软件安全产品和服务组合 [11] - Synopsys公司提供从电子设计自动化到硅IP和系统验证的可信全面设计解决方案，与多行业客户合作提升研发能力和生产力 [12]