Kódot szkennelek a Palamida szoftverrel, hogy megtaláljam az FOSS-t, és fontolóra veszem, hogy váltsak-e más szkennelő szoftverre. Melyik a legjobb és a leginkább ajánlott?


Legjobb válasz

A WhiteSource programot használjuk – A kód összes nyílt forráskódú elemének automatikus észlelése a build futtatása közben. A WhiteSource kezeli a nyílt forráskódú licencek betartását és biztonságát.

A fehér forrást vezetővé nyilvánította a Forrester Wave hivatalos jelentése a szoftverösszetétel-elemzés (SCA) piacáról, amelyet 2019-áprilisban adtak ki.

Ennek az álláspontnak az egyik fő oka, mindenki felett magasan a forradalmi ** WhiteSource Prioritize ** (AKA hatékony felhasználási elemzés), amikor a nyílt forráskódú sebezhetőségek kezeléséről van szó.

A Whitesource elemezheti a projektet, és felsorolja a kezelendő nyílt forráskódú licenceket, és a szépség az, hogy a fehér forrás felsorolja a nyílt forráskódban található biztonsági réseket amelyet az alkalmazásában használt.

A WhiteSource a piac bármely más megoldásától eltérően kezeli a nyílt forráskódú licencek betartását és biztonságát.

Teljes mértékben integrálódik az építési folyamatba, a programozási nyelvektől függetlenül. , eszközöket készíthet vagy fejlesztői környezeteket. Automatikusan, folyamatosan és csendesen működik a háttérben, és ellenőrzi a nyílt forráskódú összetevők biztonságát és licencelését a WhiteSource nyílt forráskódú tárolók folyamatosan frissülő, de- fikciós adatbázisához képest. Soha nem kell leállítania a fejlesztést vagy feltárnia a saját kódját.

Válasz

Feltételezem, hogy csalódottsága azzal kapcsolatos, hogy a szkenner zavarja az SDLC-t.

Ha agilis megközelítést használ, akkor a szkenner használata nagyjából lehetetlen. De még akkor is, ha továbbra is követi a vízesés modelljét, a beolvasás, majd több ezer hamis pozitív szitálás szükségessége, majd ezek kijavítása (ami gyakran jelentős szakadással és pótlással jár) megölheti fejlesztési ütemét és kiadási ütemezését.

Teljesen mindegy, melyik szkennert használja, legyen az Palamida vagy bármely más szkenner. A megoldás az, ha agilis megoldásra váltunk. Itt olvashat bővebben a blogbejegyzésemben. Még mindig a nyílt forráskódot vizsgálja? Ez sokkal többet tehet.

Jogi nyilatkozat: A WhiteSource egyik alapítója vagyok, amely agilis megoldást kínál a nyílt forráskódú összetevők kezelésére.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük