Beste Antwort
Wir verwenden WhiteSource – Erkennt automatisch alle Open Source-Komponenten in Ihrem Code, während Sie Ihren Build ausführen. WhiteSource verwaltet die Einhaltung und Sicherheit von Open Source-Lizenzen.
White Source wurde vom offiziellen Forrester Wave-Bericht für den SCA-Markt (Software Composition Analysis), der von 2019 bis April veröffentlicht wurde, als führend bekannt gegeben.
Einer der Hauptgründe für diese Position. Hoch über allen anderen ist die revolutionäre ** WhiteSource Prioritize ** (AKA Effective Usage Analysis), wenn Es geht darum, Open Source-Schwachstellen zu verwalten.
Whitesource kann Ihr Projekt analysieren, um Ihnen die zu verwaltenden Open Source-Lizenzen aufzulisten, und das Schöne ist, White Source listet Ihnen die Sicherheitslücken auf, die im Open Source-Code vorhanden sind Sie haben in Ihrer Anwendung verwendet.
WhiteSource verwaltet die Einhaltung und Sicherheit von Open Source-Lizenzen wie keine andere Lösung auf dem Markt.
Es lässt sich unabhängig von Ihren Programmiersprachen vollständig in Ihren Erstellungsprozess integrieren , Tools oder Entwicklungsumgebungen erstellen. Es arbeitet automatisch, kontinuierlich und unbeaufsichtigt im Hintergrund und überprüft die Sicherheit und Lizenzierung Ihrer Open Source-Komponenten anhand der ständig aktualisierten endgültigen Datenbank von WhiteSource mit Open Source-Repositorys. Sie müssen niemals die Entwicklung stoppen oder Ihren proprietären Code verfügbar machen.
Antwort
Ich gehe davon aus, dass Ihre Frustration damit zu tun hat, dass der Scanner Ihren SDLC stört.
Wenn Sie einen agilen Ansatz verwenden, ist die Verwendung eines Scanners so gut wie unmöglich. Aber selbst wenn Sie immer noch dem Wasserfallmodell folgen, kann die Notwendigkeit, Tausende von Fehlalarmen zu scannen und dann zu sichten und sie dann zu reparieren (was häufig mit erheblichen Rissen und Ersetzungen verbunden ist), Ihr Entwicklungstempo und Ihren Veröffentlichungsplan beeinträchtigen.
Es spielt keine Rolle, welchen Scanner Sie verwenden, ob es sich um Palamida oder einen anderen Scanner handelt. Die Lösung besteht darin, zu einer agilen Lösung zu wechseln. Sie können mehr in meinem Blog-Beitrag hier lesen. Scannen Sie immer noch Ihren Open Source Code? Es ist 2015. Sie können es viel besser machen.
Haftungsausschluss: Ich bin einer der Gründer von WhiteSource, das eine agile Lösung für das Management von Open Source-Komponenten bietet.