Sto eseguendo la scansione del codice con il software Palamida per trovare FOSS e considerare di passare a un software di scansione diverso. Qual è il migliore e il più consigliato?

Migliore risposta

Usiamo WhiteSource – Rileva automaticamente tutti i componenti open source nel tuo codice, durante lesecuzione della build. WhiteSource gestisce la conformità e la sicurezza delle licenze open source.

White source è stata annunciata come leader dal rapporto ufficiale di Forrester Wave per il mercato dellanalisi della composizione del software (SCA) pubblicato nel 2019-aprile.

Uno dei motivi principali di questa posizione, sopra tutti gli altri è il rivoluzionario ** WhiteSource Prioritize ** (AKA Effective Usage Analysis) quando si tratta di gestire le vulnerabilità open source.

Whitesource può analizzare il tuo progetto per elencarti le licenze open source da gestire e il bello è che white source ti elencherà le vulnerabilità di sicurezza presenti nel codice open source quali hai utilizzato nella tua applicazione.

WhiteSource gestisce la conformità e la sicurezza delle licenze open source a differenza di qualsiasi altra soluzione sul mercato.

Si integra completamente nel tuo processo di creazione, indipendentemente dai tuoi linguaggi di programmazione , creare strumenti o ambienti di sviluppo. Funziona automaticamente, continuamente e silenziosamente in background, controllando la sicurezza e la licenza dei componenti open source rispetto al database definitivo di repository open source di WhiteSource costantemente aggiornato. Non devi mai interrompere lo sviluppo o esporre il tuo codice proprietario.

Risposta

Presumo che la tua frustrazione abbia a che fare con lo scanner che interferisce con il tuo SDLC.

Se stai usando un approccio agile, usare uno scanner è praticamente impossibile. Ma anche se segui ancora il modello a cascata, la necessità di scansionare e poi setacciare migliaia di falsi positivi e poi correggerli (che spesso comporta un notevole strappo e sostituzione) può ridurre il tuo ritmo di sviluppo e il programma di rilascio.

Non importa quale scanner usi, che sia Palamida o qualsiasi altro scanner. La soluzione è passare a una soluzione agile. Puoi leggere di più nel mio post sul blog qui Stai ancora analizzando il tuo codice open source? È il 2015. Puoi fare molto meglio.

Dichiarazione di non responsabilità: sono uno dei fondatori di WhiteSource, che offre una soluzione agile per la gestione dei componenti open source.