大多数解决方案采用包管理器声明来识别开源组件。但如果不能扫描超过已声明范围的依赖项，您必定会错过某些开源。如果您不知道它的存在，就无法确保它是否安全和合规。

包管理器扫描会忽略开发人员未在包清单中声明的开源、C 和 C++ 等语言或内置在容器中的开源（不使用包管理器）、已修改的开源，或仍具有许可义务的部分代码片段。通过将文件系统扫描和代码片段扫描与构建过程监控相结合，Black Duck 针对包管理器未跟踪的开源组件、局部开源和可能未经修改或尚未声明的开源，以及动态和传递依赖性的组件和版本验证，提供可见性。