Synopsys Coverity / Black Duck Software EU Alternative 2026: CLOUD Act 18/25 und der SAST-Rebrand-Trick
Post #1245 in der sota.io EU Application Security Testing (AST) Serie
Viele europäische Sicherheitsteams wissen, dass Synopsys ein US-Unternehmen ist. Was die wenigsten wissen: Synopsys hat sein komplettes Application-Security-Portfolio — Coverity SAST, Black Duck SCA, Polaris Platform — Ende 2023 an zwei US-Private-Equity-Fonds verkauft. Das neue Unternehmen heißt seit 2024 offiziell Black Duck Software, sitzt weiterhin in Delaware, und scannt weiterhin Ihren Quellcode — jetzt unter noch undurchsichtigerer PE-Governance.
Das ist der SAST-Rebrand-Trick: Der Firmenname ändert sich, die CLOUD-Act-Pflichten bleiben.
Was ist Synopsys Coverity / Black Duck Software?
Synopsys, Inc. (NASDAQ: SNPS) wurde 1986 gegründet und ist heute einer der weltweit größten EDA-Anbieter (Electronic Design Automation). 2014 kaufte Synopsys Coverity, den damals führenden SAST-Anbieter für C/C++ und Java, für rund 374 Millionen US-Dollar. In den Folgejahren baute Synopsys ein breites Application-Security-Portfolio auf:
| Jahr | Akquisition | Funktion |
|---|---|---|
| 2014 | Coverity | SAST (statische Code-Analyse) |
| 2017 | Black Duck Software | SCA (Software Composition Analysis) |
| 2019 | Tinfoil Security | DAST (dynamische App-Tests) |
| 2020 | Code Dx | AppSec-Orchestrierung |
Die Software Integrity Group (SIG) war das interne Label für dieses Portfolio innerhalb von Synopsys. Anfang 2023 kündigte Synopsys an, die SIG zu verkaufen, um sich auf sein Kern-EDA-Geschäft zu konzentrieren — und um die geplante Übernahme von Ansys (CAE-Software, 35 Mrd. USD) regulatorisch zu erleichtern.
Der PE-Deal: Clearlake Capital + Francisco Partners übernehmen
Im Februar 2024 schloss Synopsys den Verkauf der Software Integrity Group an:
- Clearlake Capital Group, L.P. — Private-Equity-Fonds mit Sitz in El Segundo, Kalifornien (USA). AuM: ~80 Mrd. USD. Portfolio: Konsumgüter, Technologie, Industrieunternehmen.
- Francisco Partners — Technology-focused Private-Equity-Fonds mit Sitz in San Francisco, Kalifornien (USA). AuM: ~50 Mrd. USD. Bekannte Exits: GracePoint (Telco) → T-Mobile, Barracuda Networks.
Der Transaktionswert wurde auf rund 2,1 Milliarden US-Dollar geschätzt. Das neue Unternehmen wurde auf den Markennamen Black Duck Software umgetauft — in Anlehnung an die Black Duck SCA-Plattform, die seit der Akquisition 2017 zur bekanntesten Marke im Portfolio geworden war.
Rechtsstruktur nach dem Rebrand:
Black Duck Software (2024)
├── Clearlake Capital Group (El Segundo, CA) — Mehrheitsgesellschafter
├── Francisco Partners (San Francisco, CA) — Co-Investor
└── Management-Team (San Jose, CA)
├── Coverity SAST (Static Application Security Testing)
├── Black Duck SCA (Software Composition Analysis)
├── Seeker IAST (Interactive Application Security Testing)
└── Polaris Software Integrity Platform (Cloud-SaaS)
Black Duck Software Inc. ist eine Delaware Corporation mit Hauptsitz in San Jose, Kalifornien. Die europäischen Niederlassungen (u.a. in Dublin und München) sind operative Tochtergesellschaften ohne eigene Datenkontrolle.
CLOUD Act Score: 18/25
Dimension 1: Konzernstruktur und US-Jurisdiktion (5/5)
Black Duck Software ist eine Delaware C-Corp. Beide Hauptgesellschafter — Clearlake Capital und Francisco Partners — sind US-Gesellschaften nach US-Bundesrecht. Eine non-US-Muttergesellschaft, die als CLOUD-Act-Schutzschicht fungieren könnte, existiert nicht.
Seit dem PE-Buyout unterliegt Black Duck Software keiner börsennotierten Aufsicht mehr (Synopsys war NASDAQ-gelistet, Black Duck Software ist privat). Das bedeutet: weniger Transparenz, keine SEC-Pflichtoffenlegungen, kein öffentlicher Kontext für staatliche Datenanfragen.
Score D1: 5/5 — Vollständige US-Jurisdiktion, keine mitigierenden Strukturen.
Dimension 2: Regierungsverträge und Sicherheitsfreigaben (3/5)
Coverity hat eine besondere Geschichte im US-Regierungsumfeld. Das Tool wurde unter Synopsys auf breiter Front von der US-Regierung und dem US-Militär eingesetzt:
- NASA nutzt Coverity für die Analyse sicherheitskritischen Codes im Raumfahrtbereich.
- US Department of Defense (DoD) hat Coverity in der Vergangenheit mandatiert — insbesondere für C/C++-Code in eingebetteten Systemen (DFARS-Anforderungen).
- CISA listet Coverity als akzeptiertes SAST-Tool in seinen Guidance-Dokumenten.
Die Polaris-Cloud-Plattform ist nach aktuellem Stand (2026) nicht FedRAMP-autorisiert — das ist eine Folge des Ownership-Wechsels und der damit verbundenen Konsolidierungsphase. On-Premises-Coverity wird jedoch weiterhin in US-Regierungsnetzwerken betrieben.
Score D2: 3/5 — Erhebliche Regierungsnutzung auf Infrastrukturebene, Polaris-SaaS ohne FedRAMP.
Dimension 3: Datensensitivität — Die SAST-Quellcode-Falle (5/5)
Dies ist die entscheidende Dimension für jeden Application-Security-Testing-Anbieter. Was Coverity SAST verarbeitet, ist nicht ein abstrakter "Datenstrom" — es ist Ihr gesamter Quellcode:
| Verarbeitete Daten | Sensitivitätsstufe |
|---|---|
| Kompletter Quellcode aller Repositories (Java, C/C++, Python, JS, Go, C#, Ruby, Swift, Kotlin, Scala…) | Kritisch — Trade Secrets, Proprietäre Algorithmen |
| Konfigurationsdateien (CI/CD-Pipelines, Terraform, Helm-Charts) | Hoch — Infrastruktur-Secrets, Cloud-Credentials |
| Build-Artifacts und Dependency-Trees (Black Duck SCA) | Mittel — Technologie-Stack Disclosure |
| Vulnerability-Findings und Triage-Entscheidungen | Mittel — Bekannte Schwachstellen vor Fix |
| SBOM-Daten (unter CRA-Anforderungen bald Pflicht) | Hoch — Vollständiger Technologie-Fingerabdruck |
Das SAST-Paradox für regulierte Unternehmen:
Der Cyber Resilience Act (CRA), in Kraft seit Oktober 2024, verpflichtet Hersteller von Produkten mit digitalen Elementen zu systematischem Vulnerability-Management — einschließlich SAST-gestützter Entwicklungsprozesse. NIS2 Art. 21 Abs. 2 lit. e ("Sicherheit in der Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen") macht Application Security Testing zur regulatorischen Anforderung.
Das erzeugt eine Fangschlusssituation: Sie müssen SAST einsetzen, aber der Einsatz eines US-SAST-SaaS wie Coverity/Polaris bedeutet, dass der vollständige Quellcode unter US-Jurisdiktion gerät. Ein CLOUD-Act-Beschluss würde nicht nur Ihre Compliance-Daten betreffen — sondern Ihr Kernprodukt.
Score D3: 5/5 — Maximale Datensensitivität. SAST verarbeitet vollständigen Quellcode.
Dimension 4: Datenresidenz und Cloud-Infrastruktur (3/5)
Die Polaris Software Integrity Platform (der Cloud-SaaS-Delivery-Mode für Coverity und Black Duck) wird auf Amazon Web Services (AWS) betrieben. AWS-Infrastruktur ist in der EU/EWR verfügbar — aber die entscheidende Frage ist nicht der physische Serverstandort, sondern die Datenkontrolle.
Black Duck Software Inc. ist eine US-Gesellschaft mit US-Mitarbeitern, die administrativen Zugriff auf die Cloud-Infrastruktur haben. Die Nutzung von AWS EU Regions ändert nichts an der CLOUD-Act-Erreichbarkeit, da die Rechtsgrundlage beim Betreiber (Black Duck Software) liegt, nicht beim Cloud-Infrastrukturanbieter.
Das EU-US Data Privacy Framework (DPF), dem Black Duck Software beigetreten ist, schützt vor routinemäßigen Datenweitergaben — aber nicht vor einem CLOUD-Act-Beschluss oder einem FISA-702-Auftrag.
Score D4: 3/5 — EU-Datenresidenz verfügbar, aber keine wirksame Isolierung von US-Behördenzugriff.
Dimension 5: Technische Sicherheitsmaßnahmen (2/5)
Black Duck Software bietet als technische Sicherheitsmaßnahmen:
- Verschlüsselung at-rest und in-transit (AES-256, TLS 1.3) — Standard, keine differenzierende Maßnahme
- Rollenbasierte Zugriffskontrolle (RBAC) — verhindert unbefugten internen Zugriff, aber kein Schutz vor CLOUD-Act
- SOC 2 Type II Audit — Nachweis interner Sicherheitsprozesse, kein GDPR-Nachweis
- Keine EUCS-zertifizierte Umgebung — post-PE-Deal ohne Certification
Entscheidend: Black Duck Software verwaltet die Verschlüsselungsschlüssel auf seiner US-Infrastruktur. Es gibt kein Customer-Managed Key (CMK)-Modell, das den Kunden die alleinige Schlüsselkontrolle über verschlüsselte Scans gäbe. Bei einem CLOUD-Act-Beschluss kann Black Duck Software erzwungen werden, Klartextdaten herauszugeben.
Score D5: 2/5 — Grundlegende Sicherheitsmaßnahmen ohne wirksamen CLOUD-Act-Schutz.
Gesamtergebnis: 18/25
CLOUD Act Risk Score — Black Duck Software (Coverity)
═══════════════════════════════════════════════════════
D1 Konzernstruktur: ████████████ 5/5
D2 Regierungsverträge: ███████░░░░░ 3/5
D3 Datensensitivität: ████████████ 5/5
D4 Datenresidenz: ███████░░░░░ 3/5
D5 Technische Mitigation:████░░░░░░░░ 2/5
═══════════════════════════════════════════════════════
GESAMT: 18/25 (HOHES RISIKO)
Einordnung: 18/25 liegt auf dem Niveau von Trend Micro Cloud One (EU-CWPP-Serie) und signifikant über der kritischen Schwelle von 15/25. Die Kombination aus maximalem Datensensitivitäts-Score (D3=5/5) und vollständiger US-Eigentümerstruktur (D1=5/5) macht Coverity/Polaris zu einem der risikoreichsten Tools im DevSecOps-Stack.
Der Rebrand-Effekt: Was sich wirklich geändert hat
Der Wechsel von "Synopsys Software Integrity Group" zu "Black Duck Software" hat in vielen Sicherheitsteams zu einer falschen Wahrnehmung geführt: Der Markenname "Black Duck" klingt weniger nach einem US-Konzern als "Synopsys". Das täuscht.
Was sich geändert hat:
- Firmenname: Synopsys SIG → Black Duck Software
- Eigentümer: Synopsys (NASDAQ: SNPS) → Clearlake Capital + Francisco Partners (US PE)
- Transparenz: Börsennotiert → Privat (weniger öffentliche Kontrolle)
Was sich NICHT geändert hat:
- Rechtsform: Delaware Corporation
- Gerichtsbarkeit: US-Bundesrecht, CLOUD Act
- Technische Basis: Coverity, Black Duck, Polaris unverändert
- Datenpfad: Quellcode → US-Infrastruktur → US-Rechtspflichten
Für europäische Datenschutzbeauftragte und Chief Information Security Officer ist die CLOUD-Act-Exposition dieselbe wie unter Synopsys — tendenziell sogar mit weniger Transparenz, da Private-Equity-Portfoliounternehmen keine SEC-Pflichtoffenlegungen machen.
Regulatorische Risikoanalyse
DSGVO Art. 32 — Technische und organisatorische Maßnahmen
Die Nutzung von Black Duck Polaris bedeutet: Personenbezogene Daten, die im Quellcode verarbeitet werden — E-Mail-Adressen in Commit-Autoren-Metadaten, Namen in Kommentaren, Test-Fixtures mit Kundendaten — werden an einen US-Anbieter übermittelt. Das erfordert:
- Drittlandübermittlung nach Art. 44 ff.: EU-US DPF oder SCCs mit TOMs
- Transfer Impact Assessment (TIA): Die bekannte CLOUD-Act-Anfälligkeit muss bewertet werden
- Dokumentationspflicht nach Art. 30: Auftragsverarbeitungsvertrag mit Black Duck Software
Das TIA wird für die meisten EU-Unternehmen ein negatives Ergebnis produzieren, wenn Quellcode mit personenbezogenen Daten verarbeitet wird — der CLOUD Act ist im TIA-Framework nach dem Schrems-II-Urteil explizit zu berücksichtigen.
NIS2 Art. 21 — Sicherheit in der Lieferkette
NIS2 verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zu Risikomanagement in der Lieferkette der Sicherheitstools selbst. Die Nutzung von SAST-Tools unter US-Jurisdiktion ist ein Lieferkettenrisiko im Sinne von Art. 21 Abs. 2 lit. d ("Sicherheit der Lieferkette"), das dokumentiert und gemindert werden muss.
CRA Art. 13 — Sicherheit durch Design
Der Cyber Resilience Act enthält eine interessante Wechselwirkung: CRA Art. 13 Abs. 8 verpflichtet Hersteller, "Schwachstellen auf sichere Weise zu identifizieren und zu dokumentieren" — was de facto SAST-Prozesse voraussetzt. Gleichzeitig sind die SBOMs und Vulnerability-Findings, die dabei entstehen, unter CRA als "technische Dokumentation" zu behandeln und dürfen nicht unbefugt offengelegt werden.
Das CRA-SAST-Paradox: CRA erzwingt SAST → SAST mit US-Tool erzeugt CRA-pflichtige Dokumentation → diese Dokumentation fällt unter US-Jurisdiktion → potenzielle Offenlegung durch CLOUD Act.
EU-native SAST/DAST/SCA-Alternativen: Der 0/25-Stack
Der 0/25-Stack bezeichnet Tools, die — korrekt eingesetzt — kein CLOUD-Act-Risiko erzeugen: Open-Source-Software, self-hosted, ohne US-Konzernzugriff.
SonarQube Community Edition (Sonarsource SA — Genf, Schweiz)
Sonarsource SA wurde 2008 von den Gründern des gleichnamigen Java-Static-Analysis-Projekts in Genf gegründet. Das Unternehmen ist bis heute mehrheitlich im Besitz der Gründer und europäischer Investoren — ohne US-PE-Mehrheit.
| Eigenschaft | Wert |
|---|---|
| Rechtsform | Société Anonyme (SA), Schweiz |
| Hauptsitz | Genf, Schweiz |
| Investoren | Insight Partners (US, Minderheit), Gründer (Mehrheit) |
| Produkte | SonarQube CE (OSS/EUPL), SonarCloud, SonarLint |
| CLOUD Act: Schweizer Entität | n.v. — kein US-CLOUD-Act für CH-SA |
| Selbst-hostbar | ✅ Docker, on-premises |
| CLOUD Act Score (self-hosted CE) | 0/25 |
SonarQube Community Edition ist Apache-2.0-lizenziert (die Community Edition, nicht SonarQube Server) und auf GitHub verfügbar. Self-hosted in der eigenen EU-Infrastruktur erzeugt kein Datentransfer-Risiko.
Unterstützte Sprachen: Java, Python, JavaScript/TypeScript, C#, Go, PHP, Kotlin, Swift, Ruby, C/C++, Scala, HTML/CSS (30+ Sprachen in der Community Edition).
Limitierungen der CE: Kein Branch-Analysis (nur Main Branch), keine Portfolio-Funktion, kein LDAP/AD-Support in der kostenfreien Variante. Für Enterprise-Features ist SonarQube Server (kostenpflichtig, Sonarsource SA) oder SonarQube Data Center Edition relevant.
Semgrep OSS (Open Source — Apache 2.0)
Semgrep entstand aus dem Research-Team von Facebook/Meta als Nachfolger von Zoncolan. Die Open-Source-Variante (Semgrep OSS) ist Apache-2.0-lizenziert und vollständig self-hostable.
Wichtige Unterscheidung: Semgrep Inc. (das Unternehmen hinter Semgrep, San Francisco CA) bietet kostenpflichtige SaaS-Dienste an — diese unterliegen US-Jurisdiktion. Semgrep OSS (das Open-Source-Tool, on-premises) hat keine Verbindung zu US-Infrastruktur.
| Eigenschaft | Semgrep OSS | Semgrep Cloud (SaaS) |
|---|---|---|
| CLOUD Act Score | 0/25 (self-hosted) | ~17/25 (US-SaaS) |
| Lizenz | Apache 2.0 | Proprietär |
| Deployment | On-premises, CI/CD-integriert | SaaS (Semgrep Inc., CA) |
Semgrep OSS unterstützt über 30 Sprachen und enthält eine umfangreiche Rule-Library (Semgrep Registry, apache-lizenziert). Die Community-Rules decken OWASP Top 10, CWE-Kategorien und sprachspezifische Patterns ab.
Bearer (Open Source — Elasticsearch License 2.0)
Bearer ist ein SAST-Tool mit starkem Fokus auf Privacy-Engineering und DSGVO-Compliance. Die Open-Source-Version analysiert Quellcode auf:
- Sensitive Datenverarbeitungsmuster (PII in Logging, SQL-Queries mit personenbezogenen Daten)
- DSGVO-relevante Code-Patterns (fehlende Einwilligung, unverschlüsselte Speicherung)
- Sicherheitslücken (OWASP Top 10)
Hinweis: Bearer wurde 2024 von Cycode akquiriert. Cycode ist ein israelisches Unternehmen mit US-Tochtergesellschaft. Das Open-Source-Repo bleibt verfügbar und self-hostable — aber die kommerzielle Weiterentwicklung liegt bei einer US-nahen Entität. Empfehlung: Bearer OSS als Ergänzungstool verwenden, für primären SAST-Einsatz SonarQube CE bevorzugen.
OWASP DefectDojo — AppSec-Orchestrierung
Kein SAST-Tool per se, aber unverzichtbar für Enterprise-AppSec: DefectDojo ist eine OSS-Plattform für Vulnerability-Management und AppSec-Orchestrierung — sie aggregiert Ergebnisse aus SonarQube, Semgrep, Trivy, ZAP und anderen Tools in einem unified Dashboard.
| Eigenschaft | Wert |
|---|---|
| Lizenz | BSD 3-Clause |
| Governance | OWASP Foundation (US-Non-Profit) — keine PE-Interessen |
| Deployment | Docker Compose, Kubernetes Helm Chart |
| CLOUD Act Score | 0/25 (self-hosted) |
EU-Zertifizierte Alternativen mit Kommerzieller Unterstützung
Für Unternehmen, die kommerziellen Support benötigen, aber US-Jurisdiktion vermeiden wollen:
| Anbieter | Produkt | Land | CLOUD Act Score |
|---|---|---|---|
| Sonarsource SA | SonarQube Server | Schweiz | 2/25 (CH-Entität, Minderheitsbeteiligung Insight Partners) |
| GitLab B.V. | GitLab SAST (built-in) | Niederlande | 4/25 (GitLab Inc. Delaware, NL-Entität für EU) |
| Bitrise Ltd. | – | Ungarn/EU | n.v. für SAST |
GitLab SAST verdient besondere Erwähnung: Seit GitLab 15.x ist SAST für alle Projekte kostenlos verfügbar — powered durch eine Kombination aus Semgrep, SpotBugs und anderen OSS-Engines. GitLab B.V. (Amsterdam) ist die europäische Entität; GitLab Inc. (Delaware) ist die Muttergesellschaft. Das TIA ergibt ein niedrigeres Risikoprofil als Coverity/Polaris, aber nicht 0/25.
Entscheidungsframework für EU-Unternehmen
Entscheidungsbaum: SAST-Tool-Wahl unter DSGVO/NIS2/CRA
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Frage 1: Enthält Ihr Quellcode personenbezogene Daten
(PII in Test-Fixtures, Commit-Metadaten, Logs)?
JA → DSGVO Art. 44 Drittlandübermittlung relevant
→ Black Duck/Polaris nur mit vollständigem TIA
→ TIA wird bei CLOUD-Act-Anfälligkeit negativ ausfallen
→ Empfehlung: SonarQube CE self-hosted
NEIN → CLOUD-Act-Risiko bleibt (Quellcode = IP)
→ Strategische Entscheidung: Akzeptables Geschäftsrisiko?
Frage 2: Unterliegen Sie NIS2 (wesentliche/wichtige Einrichtung)?
JA → Lieferkettenrisiko-Assessment (Art. 21(2)(d)) erforderlich
→ Black Duck Software als US-PE-Tool = dokumentiertes Risiko
→ Nachweisverpflichtung gegenüber zuständiger Behörde
NEIN → Freiwillige Entscheidung
Frage 3: Stellen Sie Produkte mit digitalen Elementen her (CRA)?
JA → SAST-Pflicht + SBOM-Pflicht
→ CRA-SAST-Paradox: US-SAST erzeugt CRA-Dokumentation unter US-Jurisdiktion
→ Empfehlung: Self-hosted SAST für CRA-Compliance-Prozesse
Migrationsaufwand: Von Coverity zu SonarQube CE
Für Teams, die von Coverity/Polaris migrieren wollen, ist der Hauptaufwand:
1. Rule-Mapping (1-2 Wochen): Coverity hat ~1.500 statische Checker. SonarQube CE deckt die wichtigsten CWE-Kategorien ab (OWASP Top 10 A01-A10, CWE Top 25). Ein vollständiges 1:1-Mapping ist nicht möglich — aber für die sicherheitsrelevanten Rules (SQL-Injection, Command-Injection, Path-Traversal, XSS, Deserialisierung) ist die Abdeckung gleichwertig.
2. CI/CD-Integration (2-5 Tage): SonarQube bietet offizielle Plugins für alle großen CI/CD-Systeme (Jenkins, GitLab CI, GitHub Actions, Azure DevOps, CircleCI). Quality Gates lassen sich analog zu Coverity-Build-Breakage-Policies konfigurieren.
3. False-Positive-Triage (laufend): Coverity hat starke False-Positive-Suppression für C/C++. SonarQube CE performt besser auf Java und modernen Sprachen. Bei C/C++ kann eine Kombination aus SonarQube CE + Semgrep OSS (mit spezifischen C-Rules) sinnvoll sein.
4. Developer-Tooling: SonarLint (IDE-Plugin für VS Code, IntelliJ, Eclipse) gibt es kostenlos von Sonarsource SA — mit direkter Verbindung zur eigenen SonarQube-Instanz für Policy-Synchronisierung.
Zusammenfassung
Synopsys Coverity / Black Duck Software ist ein SAST-Tool mit CLOUD-Act-Score 18/25 — und ein Paradebeispiel für einen Rebrand, der die Datenschutz-Risikolage nicht verbessert, sondern durch PE-Übernahme tendenziell verschlechtert hat.
| Kriterium | Black Duck Software (Coverity/Polaris) | SonarQube CE (Sonarsource SA) |
|---|---|---|
| Jurisdiktion | Delaware, US-PE (Clearlake + FP) | Genf, Schweiz (SA) |
| CLOUD Act Score | 18/25 | 0/25 (self-hosted) |
| SAST Coverage | Enterprise (30+ Sprachen, 1500+ Checker) | Stark (30+ Sprachen, OWASP Top 10) |
| Deployment | SaaS (Polaris) + On-Prem (Coverity) | On-Prem, Docker, Community-Support |
| DSGVO-Compliance | Problematisch (TIA negativ) | Sauber (keine Drittlandübermittlung) |
| Kosten | Lizenzmodell (Enterprise) | Kostenlos (CE), kostenpflichtig (Server) |
| CRA-Eignung | Problematisch (SAST-Paradox) | ✅ Geeignet |
Empfehlung für europäische Unternehmen:
- CRA-pflichtige Hersteller → SonarQube CE + Semgrep OSS, self-hosted in EU-Infrastruktur
- NIS2-pflichtige Einrichtungen → Self-hosted SAST obligatorisch, TIA für Black Duck negativ
- Startups/KMU ohne Compliance-Pflicht → GitLab SAST (built-in, keine Zusatzkosten) oder SonarQube CE
- Enterprise mit Coverity-Migration → SonarQube Server (Sonarsource SA, CH), kommerzieller Support, kein US-PE
Der Rebrand von Synopsys SIG zu Black Duck Software ist für EU-Datenschutzbeauftragte ohne Relevanz. Die relevante Frage ist immer dieselbe: Wer kontrolliert die Verschlüsselungsschlüssel, und unter welcher Gerichtsbarkeit ist das Unternehmen zu behördlicher Zusammenarbeit verpflichtet? Bei Black Duck Software lautet die Antwort: US-Jurisdiktion, Delaware, CLOUD Act.
Dieser Post ist Teil der sota.io EU Application Security Testing (AST) Serie 2026. Weitere Posts: Checkmarx EU Alternative 2026 | Sonatype Nexus EU Alternative 2026 | PortSwigger Burp Suite (folgt) | EU AST Comparison Finale (folgt)
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.