sca-blackduck
Escanear dependencias en busca de vulnerabilidades y cumplimiento de licencias
Las dependencias de código abierto a menudo contienen vulnerabilidades conocidas y riesgos de cumplimiento de licencias. Esta habilidad integra Synopsys Black Duck SCA para detectar automáticamente vulnerabilidades, mapear hallazgos a marcos CVE/CWE/OWASP y aplicar políticas de cumplimiento de licencias en pipelines de CI/CD.
تنزيل ZIP المهارة
رفع في Claude
اذهب إلى Settings → Capabilities → Skills → Upload skill
فعّل وابدأ الاستخدام
اختبرها
استخدام "sca-blackduck". Scan this project and show critical vulnerabilities with remediation guidance
النتيجة المتوقعة:
- Critical Vulnerabilities Found: 2
- 1. CVE-2023-44487 (CRITICAL, CVSS 9.8)
- Component: log4j-core@2.17.1
- Fix Available: Upgrade to 2.17.2 or later
- CWE: CWE-917 (SSRF)
- OWASP: A06:2021 (Vulnerable Components)
- Remediation: Update log4j-core version in pom.xml
- 2. CVE-2023-39325 (HIGH, CVSS 9.8)
- Component: golang.org/x/net@0.14.0
- Fix Available: Upgrade to 0.17.0 or later
- CWE: CWE-787 (Out-of-bounds Write)
- Remediation: Update golang.org/x/net dependency
استخدام "sca-blackduck". Check license compliance for this Node.js project
النتيجة المتوقعة:
- License Compliance Results:
- High Risk Licenses (Action Required):
- - GPL-3.0: 2 dependencies require license review
- - AGPL-3.0: 1 dependency requires legal approval
- Warning List (Monitor):
- - LGPL-2.1: 3 dependencies - verify dynamic linking
- - MPL-2.0: 1 dependency - file-level copyleft
- Approved Licenses:
- - MIT: 45 dependencies
- - Apache-2.0: 23 dependencies
- - BSD-3-Clause: 12 dependencies
التدقيق الأمني
مخاطر منخفضةThis skill consists entirely of documentation, configuration templates, and CI/CD workflow examples for legitimate security tooling. All 474 static findings are FALSE POSITVES. The flagged patterns appear in educational security documentation discussing attack patterns for detection purposes, not in malicious code. The skill promotes security best practices for dependency scanning.
عوامل الخطر
⚙️ الأوامر الخارجية (1)
🌐 الوصول إلى الشبكة (1)
⚡ يحتوي على سكربتات (1)
درجة الجودة
ماذا يمكنك بناءه
Monitoreo de vulnerabilidades
Monitorear continuamente las dependencias de producción en busca de nuevos CVE y aplicar SLA de remediación
Compuertas de seguridad en CI/CD
Bloquear implementaciones cuando se detectan vulnerabilidades de severidad crítica o alta en las dependencias
Auditorías de cumplimiento de licencias
Identificar licencias restringidas como GPL, AGPL y otras que pueden crear responsabilidad legal
جرّب هذه الموجهات
Escanea este proyecto en busca de vulnerabilidades de dependencias usando Black Duck. Muéstrame todos los hallazgos de severidad crítica y alta con sus números CVE, versiones afectadas y recomendaciones de remediación.
Revisa las dependencias en este proyecto e identifica cualquier riesgo de cumplimiento de licencias. Categoriza por nivel de riesgo y sugiere alternativas para licencias de alto riesgo como GPL o AGPL.
Crea un flujo de trabajo de GitHub Actions que ejecute Black Duck SCA en cada pull request y falle la compilación si se encuentran vulnerabilidades críticas.
Genera un SBOM CycloneDX para este proyecto mostrando todas las dependencias directas y transitivas con su información de licencias y números de versión.
أفضل الممارسات
- Ejecutar escaneos de Black Duck en cada pull request para detectar nuevas vulnerabilidades antes de fusionar
- Configurar política para fallar compilaciones en hallazgos de severidad crítica y alta
- Generar y archivar SBOMs para cada lanzamiento para transparencia de la cadena de suministro
تجنب
- Ignorar vulnerabilidades de baja severidad sin evaluación - pueden escalar
- Usar las últimas versiones de dependencias sin escanear primero - puede introducir riesgos
- Omitir escaneos en CI/CD para compilaciones más rápidas - aumenta el riesgo de implementación