Nejlepší odpověď
Používáme WhiteSource – při spuštění vaší sestavy automaticky detekuje všechny komponenty open source ve vašem kódu. WhiteSource spravuje dodržování licencí a zabezpečení open source.
White source byl oznámen jako lídr v oficiální zprávě Forrester Wave pro trh Software Composition Analysis (SCA), která byla vydána v dubnu 2019.
Jedním z hlavních důvodů této pozice, vysoko nad všemi ostatními, je revoluční ** WhiteSource Prioritize ** (analýza efektivního využití AKA), když přijde na správu zranitelných míst open source.
Whitesource může analyzovat váš projekt, aby vám vypsal licence open source, které mají být spravovány, a krása je, bílý zdroj vám vypíše zranitelnosti zabezpečení přítomné v open source kódu jste použili ve své aplikaci.
WhiteSource spravuje shodu s licencemi a zabezpečení open source na rozdíl od jiných řešení na trhu.
Plně se integruje do vašeho procesu sestavování bez ohledu na vaše programovací jazyky , stavět nástroje nebo vývojová prostředí. Funguje automaticky, nepřetržitě a tiše na pozadí a kontroluje zabezpečení a licencování vašich komponent open source proti neustále aktualizované definitivní databázi úložišť open source WhiteSource. Nikdy nemusíte zastavovat vývoj nebo vystavovat svůj vlastní kód.
Odpověď
Předpokládám, že vaše frustrace má co do činění s tím, že skener zasahuje do vašeho SDLC.
Pokud používáte agilní přístup, pak je použití skeneru téměř nemožné. Ale i když stále sledujete model vodopádu, potřeba skenování a následného třídění tisíců falešných poplachů a jejich oprava (což často vyžaduje značné roztržení a nahrazení) může zabít vaše vývojové tempo a plán uvolnění.
Nezáleží na tom, jaký skener používáte, ať už je to Palamida nebo jakýkoli jiný skener. Řešením je přechod na agilní řešení. Další informace si můžete přečíst v mém blogovém příspěvku zde Stále skenujete svůj otevřený zdrojový kód? Je rok 2015. Můžete toho dosáhnout mnohem lépe.
Zřeknutí se odpovědnosti: Jsem jedním ze zakladatelů společnosti WhiteSource, která nabízí agilní řešení pro správu komponent open source.