ベストアンサー
WhiteSourceを使用します-ビルドの実行中に、コード内のすべてのオープンソースコンポーネントを自動的に検出します。 WhiteSourceは、オープンソースライセンスのコンプライアンスとセキュリティを管理しています。
ホワイトソースは、2019年4月にリリースされたソフトウェア構成分析(SCA)市場の公式ForresterWaveレポートによってリーダーとして発表されました。
この立場の主な理由の1つは、他の誰よりも高いのは、革新的な** WhiteSource Prioritize **(別名有効使用分析)オープンソースの脆弱性を管理することになります。
ホワイトソースはプロジェクトを分析して、管理するオープンソースライセンスを一覧表示できます。ホワイトソースは、オープンソースコードに存在するセキュリティの脆弱性を一覧表示します。アプリケーションで使用したことがあります。
WhiteSourceは、市場に出回っている他のソリューションとは異なり、オープンソースライセンスのコンプライアンスとセキュリティを管理します。
プログラミング言語に関係なく、ビルドプロセスに完全に統合されます。 、ビルドツール、または開発環境。これは、バックグラウンドで自動的、継続的、サイレントに機能し、オープンソースコンポーネントのセキュリティとライセンスを、ホワイトソースの絶えず更新されるオープンソースリポジトリの決定的なデータベースと照合します。開発を中止したり、独自のコードを公開したりする必要はありません。
回答
フラストレーションは、スキャナーがSDLCに干渉していることに関係していると思います。
アジャイルアプローチを使用している場合、スキャナーを使用することはほとんど不可能です。ただし、ウォーターフォールモデルに従っている場合でも、スキャンして数千の誤検知をふるいにかけ、修正する必要があると(多くの場合、かなりのティアアンドリプレースが必要になります)、開発ペースとリリーススケジュールが損なわれる可能性があります。
パラミダであろうと他のスキャナーであろうと、どのスキャナーを使用するかは実際には問題ではありません。解決策は、アジャイルソリューションに切り替えることです。詳細については、こちらのブログ投稿をご覧くださいまだオープンソースコードをスキャンしていますか? 2015年。もっとうまくできる。
免責事項:私は、オープンソースコンポーネントの管理にアジャイルソリューションを提供するWhiteSourceの創設者の1人です。