Mejor respuesta
Usamos WhiteSource – Detecta automáticamente todos los componentes de código abierto en su código, mientras ejecuta su compilación. WhiteSource gestiona el cumplimiento y la seguridad de las licencias de código abierto.
White source ha sido anunciado como líder por el informe oficial de Forrester Wave para el mercado de análisis de composición de software (SCA) que se publicó en abril de 2019.
Una de las principales razones para esta posición, muy por encima de todos los demás es el revolucionario ** WhiteSource Prioritize ** (también conocido como Análisis de uso efectivo) cuando se trata de administrar vulnerabilidades de código abierto.
Whitesource puede analizar su proyecto para enumerarle las licencias de código abierto que se administrarán y la belleza es que, el código blanco le enumerará las vulnerabilidades de seguridad presentes en el código de fuente abierto. que ha utilizado en su aplicación.
WhiteSource gestiona el cumplimiento y la seguridad de las licencias de código abierto a diferencia de cualquier otra solución del mercado.
Se integra completamente en su proceso de construcción, sin importar sus lenguajes de programación , crear herramientas o entornos de desarrollo. Funciona de forma automática, continua y silenciosa en segundo plano, comprobando la seguridad y las licencias de sus componentes de código abierto con la base de datos de fi nitiva de repositorios de código abierto que se actualiza constantemente. Nunca necesitas detener el desarrollo o exponer tu código propietario.
Respuesta
Supongo que tu frustración tiene que ver con que el escáner interfiera con tu SDLC.
Si está utilizando un enfoque ágil, entonces utilizar un escáner es prácticamente imposible. Pero incluso si todavía sigue el modelo en cascada, la necesidad de escanear y luego examinar miles de falsos positivos y luego corregirlos (lo que a menudo implica un desgarro y reemplazo sustanciales) puede matar su ritmo de desarrollo y su calendario de lanzamiento.
Realmente no importa qué escáner use, si es Palamida o cualquier otro escáner. La solución es cambiar a una solución ágil. Puedes leer más en la publicación de mi blog aquí ¿Sigues escaneando tu código fuente abierto? Es 2015. Puede hacerlo mucho mejor.
Descargo de responsabilidad: soy uno de los fundadores de WhiteSource, que ofrece una solución ágil para la gestión de componentes de código abierto.