Black Duck
🇺🇸Black Duck Software, Inc.
Company info
Overview
美国应用安全公司,提供覆盖 SCA、SAST、DAST、IAST、fuzz testing 与 ASPM 的企业级 AppSec 产品组合。
Industry tags
Key people
Core products and services
8 productsBlack Duck Polaris
集成 SAST、SCA、DAST、IaC analysis 与 secrets detection 的开发者优先 SaaS 平台。
Black Duck Signal
面向 AI-powered development 的 agentic AI AppSec 方案,提供实时代码安全分析与修复建议。
Coverity Static Analysis
面向大规模复杂软件的静态分析产品,覆盖安全、功能安全与行业标准合规。
Black Duck SCA
用于识别和管理开源与第三方代码中的安全、质量与许可证风险,并支持 SBOM 导入导出。
Continuous Dynamic
面向现代 Web 应用的持续化 DAST,强调 verified findings、生产安全扫描与持续评估。
Seeker Interactive Analysis
面向 Web 应用与 API 的 IAST 产品,可在 DevOps 流程中自动化测试并定位受影响代码。
Funding history
| Date | Round | Amount | Valuation | Investors | Confidence |
|---|---|---|---|---|---|
| 2005年06月 | Series B | 未披露 | — | Focus Ventures | Medium confidence · 1 sources · Single authoritative source |
| 2007年02月 | Series C | 未披露 | — | — | Medium confidence · 1 sources · Single authoritative source |
| 2011年10月 | Series E | $12M | — | Split Rock Partners, existing investors included General Catalyst Partners, Volition Capital, Flagship Ventures, Focus Ventures, Intel Capital, SAP Ventures, Red Hat | High confidence · 2 sources · 2+ independent authoritative sources |
| 2014年09月 | Series F | $20M | — | General Catalyst, Flagship Ventures, Volition Capital, Red Hat, SAP, Intel, Split Rock Partners | Medium confidence · 1 sources · Single authoritative source |
| 2017年12月 | Strategic Investment | 未披露 | — | Synopsys | Medium confidence · 1 sources · Single authoritative source |
| 2024年10月 | Strategic Investment | 未披露 | up to $2.1B | Clearlake Capital, Francisco Partners | High confidence · 2 sources · 2+ independent authoritative sources |
Product release timeline
扩展 GitHub、GitLab、Azure DevOps 与 Bitbucket 集成,强化企业级 repo onboarding 与 event-based scanning。
发布 Signal,切入 agentic AI application security。
为 SCA 增加 AI model risk scanning,用于识别和治理开源 AI 模型风险。
增强 AI-powered application security assistant,支持更强的 IDE 与 Polaris 内自然语言交互。
推出 GitHub App,简化 Polaris、Black Duck SCA 与 Coverity 的仓库扫描与自动化接入。
上线托管于沙特阿拉伯的 Polaris,定位为当地首个 application security SaaS platform。
向 Polaris 平台加入 AI-powered 安全助手。
推出独立版 Code Sight Standard Edition,面向 IDE 内安全开发。
展示新的 application security orchestration 方案,强化多工具编排。
扩展新编程语言、secure coding standards 与 DevOps toolchain integrations。
发布 Coverity 8.5,增强静态分析能力。
发布 Seeker 3.8,用于 Web 应用运行时安全分析。
发布新版 Coverity Software Testing Platform。
推出云端 Java 代码缺陷检测服务 Code Spotter beta。
Key events
启动 Polaris 平台的 FedRAMP Moderate authorization 进程,扩大 federal cloud 覆盖。
任命 Roman Telerman 为 Chief Financial Officer。
任命 Dipto Chakravarty 为 Chief Product & Technology Officer。
与 Arm 协作,围绕 European Cyber Resilience Act 合规强化 Arm64-based systems 的软件安全。
STMicroelectronics 集成 Black Duck SCA 与 Coverity,用于自动化 SBOM 生成与软件安全提升。
新增 CIO 与 CISO 管理层岗位,继续扩展独立公司高管团队。
任命 Sean Forkan 为 Chief Revenue Officer。
被独立研究机构评为 Software Composition Analysis 领域 Leader。
完成从 Synopsys 分拆并恢复独立品牌 Black Duck Software。
Synopsys 宣布将 Software Integrity Group 出售给 Clearlake 与 Francisco Partners,交易估值最高达 $2.1B。
被 Synopsys 完成收购,Black Duck 成为其 Software Integrity 业务核心组成部分。
完成由 Split Rock Partners 领投的 $12M 融资;公司称自 2009 年起已 cash-flow positive。
Black Duck founded in Massachusetts, initially focused on open source governance and security.
Competitive landscape
Snyk (Snyk Open Source / Snyk AI Security Platform)
— 以开发者优先和 PLG 为核心,提供 free、team、enterprise 分层,并深度嵌入 IDE、CLI 与 SCM 工作流;其优势是自动 PR 修复、developer workflow 体验与风险优先级处理,在 SCA、SAST、DAST 以及 AI 时代 AppSec 平台层面与 Black Duck 正面竞争。[Source1](https://snyk.io/product/open-source-security-management/) [Source2](https://www.williamblair.com/-/media/downloads/eqr/2025/williamblair_a-developer-technology-quarterly-devsecops-refresh-edition.pdf) [Source3](https://www.blackduck.com/integrations.html)
Veracode (Veracode SCA / Intelligent Software Security Platform)
— SaaS-first,通常由企业安全团队主导采购,强调单平台 code-to-cloud 扫描与 on-demand expertise;其强项在 large-enterprise governance 与成熟品牌心智,常出现在 Black Duck 的大企业 AST 与 SCA 替换项目中。[Source1](https://www.veracode.com/products/software-composition-analysis/) [Source2](https://www.blackduck.com/compare/blackduck-vs-veracode.html) [Source3](https://www.blackduck.com/integrations.html)
Checkmarx (Checkmarx One / SCA)
— 典型 enterprise sales 驱动,主打统一 AST 平台与较强产品 breadth;其优势在大型企业既有装机与集中治理能力,和 Black Duck 在 SAST、SCA、ASPM 一体化预算里高度重叠。[Source1](https://checkmarx.com/product/software-composition-analysis/) [Source2](https://www.williamblair.com/-/media/downloads/eqr/2025/williamblair_a-developer-technology-quarterly-devsecops-refresh-edition.pdf) [Source3](https://www.blackduck.com/integrations.html)
Mend.io (Mend Application Security Platform)
— 以开源治理与自动化修复著称,go-to-market 更偏 enterprise AppSec;它在 remediation automation 与历史 OSS 管理能力上有明确优势,与 Black Duck 在 SCA、license compliance 和 SBOM 采购上直接对位。[Source1](https://www.mend.io/product/application-security-platform/) [Source2](https://www.williamblair.com/-/media/downloads/eqr/2025/williamblair_a-developer-technology-quarterly-devsecops-refresh-edition.pdf)
Sonatype (Lifecycle)
— 围绕 Nexus 生态做企业销售,强调制品仓库、开源治理和策略执行的一体化;对已深度采用 Nexus 的组织吸引力较高,在软件供应链与 OSS 风险管理上是 Black Duck 的直接替代方案。[Source1](https://www.sonatype.com/products/lifecycle) [Source2](https://www.williamblair.com/-/media/downloads/eqr/2025/williamblair_a-developer-technology-quarterly-devsecops-refresh-edition.pdf) [Source3](https://www.blackduck.com/integrations.html)
JFrog (Xray)
— 依托 Artifactory 做平台化销售,强项是 artifact/build info 可见性、SBOM 与 DevOps 流水线整合;在 artifact-centric scanning、license compliance 与 SCA 场景下与 Black Duck 明确竞争。[Source1](https://jfrog.com/xray/) [Source2](https://www.blackduck.com/integrations.html)
FOSSA (OSS License Compliance / SBOM Management)
— 更偏合规与法务协同,强调 M&A due diligence、attribution 和 license automation;在 license compliance 深度上较强,在受监管行业和法务导向采购中对 Black Duck 构成实质替代。[Source1](https://fossa.com/solutions/oss-license-compliance/) [Source2](https://www.williamblair.com/-/media/downloads/eqr/2025/williamblair_a-developer-technology-quarterly-devsecops-refresh-edition.pdf)
Endor Labs (AURI / SCA with Reachability)
— AI-native 且偏 security-team-led GTM,突出 reachability、exploitability 与 code context graph;其主要卖点是降噪和适配 AI-native SDLC,对 Black Duck 构成新一代高端竞争压力。[Source1](https://www.endorlabs.com/platform) [Source2](https://www.williamblair.com/-/media/downloads/eqr/2025/williamblair_a-developer-technology-quarterly-devsecops-refresh-edition.pdf)
Growth metrics
Competitive narrative
Differentiators
Challenges and risks
Market position
Black Duck 属于应用安全与软件供应链安全领域的成熟平台型厂商,历史上由 Black Duck、Coverity、Seeker、Defensics 等能力整合而成。它的核心优势不是单一工具,而是对受监管、大型、混合部署环境的全栈 AST 覆盖与合规能力。 从竞争格局看,Black Duck 更接近 legacy-enterprise leader,但正在用 Polaris、Signal 和 ASPM 把自己重新包装成面向 AI 时代的统一平台。中短期内,其最强护城河仍是大客户可信度、SCA/SBOM 深度和 on-prem/hybrid 适配;最大压力则来自 Snyk、Endor Labs 这类开发者与 AI 原生对手,以及 GitHub、GitLab、CNAPP 的平台并吞趋势。