Beste antwoord
We gebruiken WhiteSource – Detecteer automatisch alle open source componenten in uw code, terwijl u uw build uitvoert. WhiteSource beheert de naleving en beveiliging van open source licenties.
White source is aangekondigd als leider door het officiële Forrester Wave-rapport voor de Software Composition Analysis (SCA) -markt dat werd uitgebracht in 2019-april.
Een van de belangrijkste redenen voor deze positie, hoog boven alle anderen is de revolutionaire ** WhiteSource Prioritize ** (AKA Effective Usage Analysis) wanneer het gaat om het beheren van open source-kwetsbaarheden.
Whitesource kan uw project analyseren om u de open source-licenties te vermelden die moeten worden beheerd en het mooie is dat white source u de beveiligingskwetsbaarheden in de open source-code zal vermelden. die u in uw toepassing hebt gebruikt.
WhiteSource beheert de naleving en beveiliging van open source licenties in tegenstelling tot andere oplossingen op de markt.
Het integreert volledig in uw bouwproces, ongeacht uw programmeertalen , tools bouwen of ontwikkelomgevingen. Het werkt automatisch, continu en geruisloos op de achtergrond en controleert de beveiliging en licenties van uw open source-componenten aan de hand van WhiteSources constant bijgewerkte definitieve database met open source-repositories. U hoeft de ontwikkeling nooit te stoppen of uw eigen code vrij te geven.
Antwoord
Ik neem aan dat uw frustratie te maken heeft met het feit dat de scanner uw SDLC verstoort.
Als u een agile aanpak gebruikt, is het vrijwel onmogelijk om een scanner te gebruiken. Maar zelfs als je nog steeds het watervalmodel volgt, kan de noodzaak om duizenden fout-positieven te scannen en vervolgens te doorzoeken en ze vervolgens te repareren (wat vaak gepaard gaat met aanzienlijk scheuren en vervangen) je ontwikkelingstempo en releaseschema om zeep helpen.
Het maakt eigenlijk niet uit welke scanner u gebruikt, of het nu Palamida is of een andere scanner. De oplossing is om over te schakelen naar een agile oplossing. U kunt meer lezen in mijn blogpost hier Bent u nog steeds bezig met het scannen van uw open source-code? Het is 2015. Je kunt veel beter doen.
Disclaimer: ik ben een van de oprichters van WhiteSource, dat een flexibele oplossing biedt voor het beheer van open source-componenten.