Black Duck Suite

Schnellere und kostengünstigere Innovation
Aufgrund von stetig schrumpfenden Budgets und dem Wettbewerbsdruck wird
die Verwaltung der Softwareentwicklung eine immer größere Herausforderung.
Entwicklungsorganisationen müssen bei immer geringeren Kosten immer innovativer
werden, um einen Wettbewerbsvorteil zu erlangen. Unabhängig davon, ob die
Softwareentwicklung dem agilen oder dem Wasserfallmodell folgt, müssen die
Unternehmen Wege finden, sich ständig zu verbessern – auch bei schrumpfenden
Budgets. Die Black Duck Suite ermöglicht es Entwicklungsorganisationen, die
überzeugenden wirtschaftlichen Vorteile von Open Source zu nutzen, aber gleichzeitig
die entsprechenden Risiken und Herausforderungen zu meistern.
Die meisten weltweit führenden
Entwicklungsorganisationen verschaffen sich
einen Wettbewerbsvorteil, indem sie proaktiv
Open-Source-Komponenten zusammen mit
intern entwickeltem Code und anderer extern
beschaffter Software verwenden. Als Faustformel
gilt, dass ein Entwicklungsunternehmen pro
1.000 Zeilen an verwendetem Code aus einer
Open-Source-Komponente ungefähr 20.000 US$
einsparen kann. Durch diese Einsparungen
können Entwicklungsmanager ihre Teams gezielt
zum Entwickeln von Alleinstellungsmerkmalen
sowie Anwendungen und Erweiterungen mit
hohem Mehrwert abstellen.
Durch den strategischen Einsatz von OpenSource-Software können Unternehmen ihre
wertvollen technischen Ressourcen dazu
einsetzen, Unternehmenswert zu schaffen, statt
immer wieder das Rad neu zu erfinden. Damit
senken sie die Entwicklungskosten und fördern
Innovation.
Es ist wohl keine große Überraschung, dass
Open-Source-Software zwar nichts kostet,
jedoch keinesfalls umsonst ist. Die Verwendung
von Open Source in großem Umfang – Hunderte
Komponenten im Gegensatz zu nur einigen
wenigen – bringt neue Herausforderungen
in Bezug auf Management, Konformität und
Sicherheit mit sich.
Black Duck Suite im Lebenszyklus der Anwendungsentwicklung
© 2013 Black Duck Software, Inc. Alle Rechte Vorbehalten.
Features
Benefits
Konfigurierbarer
Genehmigungs-workflow
• Beschleunigt den Genehmigungsprozess
• Konfigurierbar, um Richtlinien zu entsprechen und diese zu unterstützen
• Fördert abteilungsübergreifende Zusammenarbeit
Automatisierte
Erkennung und
Validierung
• Verbessert Effizienz und Geschwindigkeit bei der Entwicklung
• Stellt Konformität mit Unternehmensrichtlinien und Lizenzverpflichtungen sicher
• Überprüft Konformität mit genehmigter Komponentenliste
• Bietet Prüfprotokoll/Rückverfolgbarkeit
Komponenten-katalog
• Katalog der genehmigten Komponenten spart Zeit, macht unnötige Anfragen
überflüssig1
• Ermöglicht es, rund um die Uhr zu wissen und nachzuverfolgen, wo Komponenten in
anderen Anwendungen verwendet werden
• Fördert Standardisierung und Wiederverwendung
Verwaltung von
Sicherheit und Risiken
• Sicherstellen, dass die sichersten Open-Source-Komponenten ausgewählt und
verwendet werden
• Überwachen von Sicherheitslücken – automatische Warnungen werden auf
Grundlage der Verwendung gesendet
• Stellt die Einhaltung von Lizenzbestimmungen sicher
• Sicheres Verwalten der Softwareherkunft und -verpflichtungen
Umfassende Codesuche
• Verbesserung der Produktivität durch Suchen nach und Wiederverwenden von
SDK für Integration
• Integration mit vorhandenen Entwicklungstools und -umgebungen
Open-Source-Komponenten und vorhandenem Code aus einem Katalog mit
genehmigten Komponenten oder über mehrere Repositorys und Server hinweg.
Vermeiden von Nachbearbeitung und duplizierten Entwicklungsarbeiten.
• Verbesserung der Codequalität durch schnelles Auffinden von Fehlern/Defekten
innerhalb der Organisation
Manuelle Methoden der Codeverwaltung und
Laissez-Faire-Herangehensweisen an Open
Source sind anfällig für Fehler und können zu
Versionsvielfalt, unbekannten und ungewollten
Lizenzverpflichtungen, Lizenzkonflikten,
Verletzungen der Exportvorschriften für
Verschlüsse- lungstechnologien und
Sicherheitslücken führen. All diese Aspekte setzen
ein Unternehmen unnötigen Risiken aus.
2
Die Black Duck Suite ist eine fortschrittliche
Unternehmens-lösung für die einzigartigen
Herausforderungen in Bezug auf Management,
Konformität und Sicherheit, die bei der
Verwendung von Open-Source-Software
entstehen. Sie vereint die Produkte Black
Duck Code Center, Code Sight, Export und
Protex in einem einheitlichen Framework
und enthält zudem ein robustes SDK für die
Integration mit IBM Rational und zahlreichen
Entwicklungsumgebungen und -tools anderer
Firmen wie Microsoft. Die Black Duck Suite
automatisiert Schlüsselprozesse bei der
Verwaltung von Open-Source-Code während
des Lebenszyklus der Anwendungsentwicklung
– Suche, Auswahl, Genehmigung, Validierung
und fortlaufende Überwachung. Code Center
bietet für jede Phase einen Katalog von
Softwarekomponenten mit durchsuchbaren
Metadaten (Komponenteninformationen).
Wenn eine Komponente zur Verwendung
vorgeschlagen wird, automatisiert Code Center
den Genehmigungsprozess der Komponente. Code
Sight bietet eine Suche nach Zeichenfolgen in
Code direkt aus der IDE des Softwareentwicklers.
Protex und Export werden in späteren Phasen
des Prozesses verwendet, wenn der Code vor der
Verwendung überprüft werden muss.
Die Black Duck KnowledgeBase bildet die
Grundlage der Black Duck Suite.
Jedes Black Duck-Produkt ist eine modulare
Komponente, die in das KnowledgeBase- und
Suite-Framework passt und so konfiguriert
werden kann, dass sie individuellen Ansprüchen
und Anforderungen gerecht wird.
„Die zugrunde liegenden wirtschaftlichen Bedingungen
der Softwareentwicklung führen unausweichlich zu
Open-Source-Software“
– David Rivas, Nokia
VP für S60-Software
Professional Services
Seit der Gründung von Black Duck Software im
Jahr 2002 sind wir Innovationsführer bei der
Automatisierung der Verwaltung, Überprüfung
und Analyse von Open-Source-Software. Unser
Professional Services-Team verfügt daher über
mehr Erfahrung bei der Implementierung von
Managementlösungen für Open-Source-Software
als jedes andere Unternehmen weltweit.
Black Duck bietet ein umfassendes Angebot an
professionellen Dienstleistungen, darunter:
Strategische Planungsdienste, um Ihnen bei
der Entwicklung von Strategien, Richtlinien und
Prozessen zur Verwaltung von Open-Source-,
proprietärem und Drittanbietercode zu helfen
und die reibungslose Integration der Black DuckProdukte in Ihre Organisation vorzubereiten.
Projektimplementierungsdienste, um eine
reibungslose Implementierung der Black DuckLösung sicherzustellen – von der Installation bis
zur Schulung.
Dienste für stetige Verbesserung, die Sie unter
anderem bei der Bewertung Ihrer Prozesse für das
Konformitätsmanagement unterstützen, sodass
Sie hinsichtlich Best Practices, Schulungen zu
„…Wir haben uns aufgrund
der KnowledgeBase zu
Open-Source-Software für
Black Duck entschieden. Die
Pflege der KnowledgeBase
ist solider als bei allen
anderen Lösungen, die wir in
Erwägung gezogen hatten …“
– Andre Terrisse, Leiter des Programms
für Rechtskonformität von
Software bei Intel
neuen Funktionen sowie der Implementierung
neuer Black Duck-Versionen und -Upgrades
immer auf dem neuesten Stand bleiben.
Auftragsentwicklungsdienste, um Ihnen eine
Lösung bereitstellen zu können, die voll und ganz
Ihren Bedürfnissen entspricht. Dies kann die
Entwicklung von benutzerdefinierten Berichten,
Anwendungsanpassung, KnowledgeBaseOptimierung und SDK-Schulung enthalten.
Wir bieten auch Schulungsprogramme, um
unseren Kunden dabei zu helfen, durch eine
klare, logische und interaktive Schulung den
größtmöglichen Vorteil aus ihren Black DuckLösungen zu ziehen.
Black Duck KnowledgeBase
Das Internet hält für Entwickler Milliarden von
Zeilen nützlicher Open-Source-Software bereit.
Die Produkte im Portfolio von Black Duck greifen
auf die Black Duck KnowledgeBase zurück, die
branchenweit umfassendste Datenbank für OpenSource-Software. Die Black Duck KnowledgeBase
ist auch die Grundlage von Koders.com, einer
führenden Website für die Suche nach Code, die
für die Öffentlichkeit frei zugänglich ist.
Black Duck fügt der KnowledgeBase
regelmäßig neuen Code und neue Projekte
hinzu. Die Aktualisierungen der KnowledgeBase
können Hunderte und sogar Tausende neuer
Projekte umfassen. Kunden von Black Duck
3
können so mit der dynamischen Open-SourceCommunity Schritt halten. Die Aktualisierungen
der KnowledgeBase werden vor der Freigabe für
die Kunden auf ihre Richtigkeit geprüft.
Zahlen zur KnowledgeBase
• 650.000 OSS-Projekte
• 5.500 Websites
• 2.200 separate Softwarelizenzen
• 52.000 Sicherheitslücken
• Mehr als 450 Verschlüsselungsalgorithmen
Entwickler können die KnowledgeBase schnell
nach passenden Komponenten zur Verwendung in
ihren Projekten durchsuchen.
Jeder Komponenteneintrag enthält umfassende
Informationen, die die Entwickler bei der Auswahl
der besten verfügbaren Komponente unterstützen,
die sowohl den funktionalen Anforderungen
als auch den Verwendungsrichtlinien des
Unternehmens (z. B. zu Lizenzierung, Sicherheit
und weiteren Aspekten) entspricht. Damit müssen
Entwickler nicht länger Stunden oder sogar Tage
nach möglichen Komponenten suchen.
Die Black Duck Suite
Genehmigungsworkflow
Der Genehmigungsworkflow ermöglicht einen
benutzerdefinierten Prozess zur Genehmigung,
abhängig von der Struktur und den Richtlinien
einer Organisation. Die Entwickler reichen
Komponenten und Genehmigungskriterien
bei Genehmigungsgremien ein, die diese
genehmigen, ablehnen bzw. mit Einschränkungen
genehmigen oder weitere Informationen
anfordern können. Informationen bezüglich des
Genehmigungsprozesses werden im Katalog
erfasst und können später geprüft werden.
4
Validierungsmodule
Das Modul zur Lizenzvalidierung durchsucht
Quellcode und Binärdateien nach unbekannter
und nicht genehmigter Software und vergleicht
dabei automatisch die gescannte Codebasis
mit dem gesamten bekannten Open-SourceCode in der KnowledgeBase. Hierzu werden
Codereproduktionen in der KnowledgeBase
vorgehalten, und es werden unscharfe
oder exakte Übereinstimmungen mit dem
analysierten Code gesucht. Der Vergleich der
tatsächlich verwendeten Komponenten mit
der Liste der genehmigten Komponenten wird
als Validierung bezeichnet. Das Modul zur
Validierung von Verschlüsselungstechnologien
analysiert den Quellcode und findet
Verschlüsselungsalgorithmen, sodass
Organisationen Richtlinien und Exportvorschriften
für Verschlüsselungstechnologien
einhalten können.
Katalog
Der Katalog ist die lokale Datenbank der
Komponenten-verwendung innerhalb eines
Unternehmens. Sie enthält Komponenten, die den
Prozess zur Genehmigung durchlaufen haben
und genehmigt bzw. abgelehnt wurden oder
sich noch in Bearbeitung befinden. Zudem wird
verfolgt, wo die Komponenten verwendet werden.
Wenn Entwickler nach Komponenten suchen
und diese auswählen, kann der Katalog parallel
zur KnowledgeBase durchsucht werden, um die
Verwendung von Komponenten zu fördern, die
bereits in der Organisation verwendet werden,
und somit eine übermäßige Komponenten- und
Versionsvielfalt einzudämmen. Die Komponenten
im Katalog können aus der KnowledgeBase
stammen oder lokal erstellt werden, um andere
Software darzustellen, die möglicherweise in einer
Anwendung integriert ist.
Der Katalog ermöglicht die Überwachung
der bereits verwendeten Komponenten. Wenn
ein neues KnowledgeBase-Update vorliegt,
wird dieses mit der Liste der Komponenten
abgeglichen, und die Informationen werden
verwendet, um Warnungen basierend auf der
Komponentenverwendung zu generieren. Wenn
beispielsweise 3 von 500 Anwendungen in der
Organisation eine bestimmte Version von Apache
Tomcat verwenden und für diese spezifische
Version von Tomcat eine Sicherheitslücke
gefunden wird, können E-Mail-Warnungen für
die internen Verantwortlichen der 3 relevanten
Anwendungen generiert werden.
Die Komponentenliste, die die in einer Anwendung
oder einem Produkt verwendeten Komponenten
enthält, wird zur Validierung verwendet.
Die genehmigte Komponentenliste ist die
Zusammenstellung aller Komponenten für eine
Anwendung, die den Genehmigungsprozess
durchlaufen haben.
Code- und Komponentensuche
Der Katalog kann mit einem regulären Browser
auf der Grundlage von Metadaten (Name,
Beschreibung, Version, Lizenz usw.) nach
Komponenten durchsucht werden. Mit den Black
Duck IDE-Plug-ins für Visual Studio und Eclipse
können Entwickler den Code auch direkt aus
ihren Entwicklungsumgebungen heraus nach
Zeichenfolgen (in der Versionskontrolle und den
Dateisystemen) durchsuchen.
Die tatsächliche Komponentenliste ist die
Zusammenstellung aller Komponenten in
einer Anwendung, die bei der Validierung
erkannt wurden.
Bei einer konformen Anwendung stimmen
die genehmigte und die tatsächliche
Komponentenliste überein. Diskrepanzen deuten
entweder auf nicht genehmigten Code in der
Codebasis einer Anwendung oder auf fehlende
Komponenten hin.
5
ÜBER BLACK DUCK
Mit preisgekrönten Softwarelösungen und kompetenter Beratung ist Black Duck der bevorzugte Partner für die Einführung, Kontrolle und Verwaltung von Open-SourceSoftware. Unternehmen jeder Größe vertrauen auf Black Duck in ihren Bemühungen, die vielfachen Möglichkeiten von Open-Source-Technologien und –Methoden
erfolgreich zu nutzen. Als Mitglied der weltweiten OSS Community bietet Black Duck Entwicklern über Ohloh.net Zugang zu OSS-Ressourcen und präsentiert in
seinen Blog „Open Source Delivers“ regelmäßig die aktuellsten Kommentare und Meinungen von Branchenexperten. Black Duck ist ebenfalls Gastgeber des
„Open Source Think Tank“, einer internationalen Veranstaltung, auf der führende Köpfe sich regelmäßig über die Zukunft von Open Source austauschen. Black
Duck, mit Hauptsitz nahe Boston, unterhält Büros in San Mateo, St. Louis, London, Paris, Frankfurt, Hongkong, Tokyo, Seoul und Beijing. Für Informationen, wie sich Open
Source am besten nutzen lässt, um Innovationen schneller, kreativer und effizienter voranzutreiben, besuchen sie www.blackducksoftware.com/de/ und folgen Sie
uns auf @black_duck_sw.
Kontakt
Um mehr zu erfahren, wenden Sie sich bitte an [email protected],
oder rufen Sie uns an: +49 (69) 67733.196
Weitere Informationen finden Sie auf der Black Duck-Website: www.blackducksoftware.com/de/
DS-SUITE-A4DE-0912

Download Report