Black Duck Software, ein weltweit führendes Unternehmen für automatisierte Lösungen zur Sicherung und Verwaltung von Open Source Software, gibt die sofortige Verfügbarkeit der neuesten Version von Black Duck Hub bekannt. Die Open Source Sicherheitslösung ist das Flaggschiff des Unternehmens. Black Duck Hub 3.0 bietet neben einer höheren Geschwindigkeit beim Scannen neue Funktionalitäten für die agile Entwicklung.

Hub 3.0 optimiert die kontinuierliche Integration sowie DevOps-Prozesse durch Richtlinien-Management und schnelleres Scannen. So wird sowohl in Anwendungen als auch in Containern der komplette Open Source Code einsehbar. Die rechtzeitige und fortlaufende Identifizierung von bekannten Open Source-Schwachstellen sowie gegen die Compliance-Richtlinien verstoßende Codes beschleunigen die Entwicklung.


„Eine agile Entwicklung entspricht der permanenten Nachfrage von Kunden nach neuen Funktionalitäten und Features“, so Lou Shipley, CEO von Black Duck. „Die Agilität steigt, wenn Entwicklerteams Vulnerabilities und fehlerhaften Code schon früh entdecken. Werden Schwachstellen jedoch erst in einer späteren Phase des Entwicklungszyklus aufgedeckt, kostet das Zeit und erhöht die Kosten für die Behebung. So wird die Agilität massiv eingeschränkt.“

„Anwendungen werden heute mit Open Source entwickelt“, so Shipley weiter. „Der größte Teil des Anwendungscodes besteht aus Open Source. Ein Richtlinien-Management ist daher ebenso entscheidend wie die schnelle und umfassende Identifizierung des gesamten Open Source Codes und die Zuordnung aller bekannten Sicherheitslücken.“


Der automatische Scan und die Identifizierung laufen bei dem neuen Release bis zu 100mal schneller ab als bei den Vorgängerversionen. Zudem führt Black Duck Hub 3.0 einen vollständigen Signaturen-Scan durch, der alle Open Source Vulnerabilities identifiziert, selbst wenn diese im Paket-Manifest nicht explizit aufgeführt sind.

Das neue Richtlinien-Management erlaubt die Definition von Ausnahmen. Damit können Open Source-Komponenten identifiziert werden, die im Hinblick auf Sicherheit, Lizenzierung und Nutzung ein Risiko darstellen. Die Richtlinien sind dabei abhängig von: Lizenztyp, Name und Verwendung der Komponente, die Anzahl neuerer, verfügbarer Versionen und Projektmerkmale (Ebene, Stadium, Vertriebsmodell). Richtlinien können durch bestimmte Vorkommnisse auch außer Kraft gesetzt werden.

Black Duck Hub 3.0 unterstützt die Identifizierung von Open Source-Komponenten und Quellcode bis hin zu Linux-Distributionslevel. Einige der momentan bereits unterstützten Distributionen sind Red Hat Enterprise Linux (RHEL), Fedora, Alpine und Debian.