Meilleure réponse
Nous utilisons WhiteSource – Détectons automatiquement tous les composants open source de votre code, lors de lexécution de votre build. WhiteSource gère la conformité et la sécurité des licences open source.
White source a été annoncé comme leader par le rapport officiel Forrester Wave pour le marché de lanalyse de la composition logicielle (SCA) qui a été publié en avril 2019.
Lune des principales raisons de cette position, bien au-dessus de tout le monde est le révolutionnaire ** WhiteSource Prioritize ** (AKA Effective Usage Analysis) lorsque il sagit de gérer les vulnérabilités open source.
Whitesource peut analyser votre projet pour vous lister les licences open source à gérer et la beauté est, white source vous listera les vulnérabilités de sécurité présentes dans le code open source quoi que vous avez utilisé dans votre application.
WhiteSource gère la conformité et la sécurité des licences open source comme aucune autre solution sur le marché.
Il sintègre pleinement dans votre processus de construction, quels que soient vos langages de programmation , créez des outils ou des environnements de développement. Il fonctionne automatiquement, en continu et silencieusement en arrière-plan, vérifiant la sécurité et les licences de vos composants open source par rapport à la base de données dé fi nitive de WhiteSource constamment mise à jour des référentiels open source. Vous navez jamais besoin darrêter le développement ou dexposer votre code propriétaire.
Réponse
Je suppose que votre frustration est liée au fait que lanalyseur interfère avec votre SDLC.
Si vous utilisez une approche agile, utiliser un scanner est quasiment impossible. Mais même si vous suivez toujours le modèle de la cascade, la nécessité de scanner, puis de passer au crible des milliers de faux positifs, puis de les corriger (ce qui implique souvent une déchirure et un remplacement substantiels) peut ralentir votre rythme de développement et votre calendrier de publication.
Le scanner que vous utilisez na pas vraiment dimportance, que ce soit Palamida ou tout autre scanner. La solution est de passer à une solution agile. Vous pouvez en savoir plus dans mon article de blog ici Vous scannez toujours votre code Open Source? Cest 2015. Vous pouvez faire beaucoup mieux.
Clause de non-responsabilité: Je suis lun des fondateurs de WhiteSource qui offre une solution agile à la gestion des composants open source.