「Black Duck Hub」は、コード内で使われているオープンソースを検出し、セキュリティ上の既知の脆弱性を識別、それに対する修正の分類、スケジューリング、追跡を行うことができるという。
オープンソースの脆弱性が毎年新たに4000個以上報告されているなかで、何千個もの未知のオープンソースの脆弱性が気づかれないままに放置されている例もあるという。
「Black Duck Hub」は、包括的な言語対応を行っているBlack DuckのKnowledgeBaseを利用することにより、ライセンスと脆弱性データを管理している。
「Black Duck Hub」は、ビルドのプロセスの一部として実行され、オープンソースがコードストリームに入っていくと、それを自動的に検出し、既知の脆弱性を持つオープンソースライブラリに対してフラグを立てる。
脆弱性の詳細に基づいて、アプリケーションとポートフォリオのリスク評価、およびオープンソースのライセンスとコミュニティ活動のリスク評価を行い、修正のスケジューリング機能と追跡機能により、セキュリティ担当者は、重要な脆弱性に対して修正が行われていることを確認できるとしている。
