Najlepsza odpowiedź
Używamy WhiteSource – automatycznie wykrywaj wszystkie komponenty open source w kodzie podczas uruchamiania kompilacji. WhiteSource zarządza zgodnością i bezpieczeństwem licencji open source.
White source został ogłoszony liderem w oficjalnym raporcie Forrester Wave dla rynku analizy składu oprogramowania (SCA), który został opublikowany w dniach 2019-kwiecień.
Jednym z głównych powodów tej pozycji, wysoko ponad wszystkimi innymi, jest rewolucyjna ** WhiteSource Prioritize ** (AKA Effective Usage Analysis), kiedy chodzi o zarządzanie lukami w oprogramowaniu open source.
Whitesource może przeanalizować Twój projekt, aby wyszczególnić licencje open source, którymi chcesz zarządzać, a piękno polega na tym, że białe źródło wypisze ci luki w zabezpieczeniach obecne w kodzie open source, co używasz w swojej aplikacji.
WhiteSource zarządza zgodnością i bezpieczeństwem licencji open source w przeciwieństwie do innych rozwiązań dostępnych na rynku.
W pełni integruje się z procesem kompilacji, niezależnie od języka programowania , narzędzia do tworzenia lub środowiska programistyczne. Działa automatycznie, w sposób ciągły i cichy w tle, sprawdzając bezpieczeństwo i licencjonowanie komponentów open source z ciągle aktualizowaną definitywną bazą danych repozytoriów open source. Nigdy nie musisz wstrzymywać rozwoju ani ujawniać swojego zastrzeżonego kodu.
Odpowiedź
Zakładam, że twoja frustracja ma związek z tym, że skaner zakłóca działanie SDLC.
Jeśli używasz podejścia zwinnego, użycie skanera jest prawie niemożliwe. Ale nawet jeśli nadal będziesz postępować zgodnie z modelem kaskadowym, potrzeba skanowania, a następnie przeszukiwania tysięcy fałszywych alarmów, a następnie ich naprawianie (co często wiąże się ze znacznym rozdarciem i wymianą) może zabić tempo rozwoju i harmonogram wydań.
Tak naprawdę nie ma znaczenia, którego skanera używasz, czy jest to Palamida, czy jakikolwiek inny. Rozwiązaniem jest przejście na elastyczne rozwiązanie. Możesz przeczytać więcej na moim blogu tutaj Nadal skanujesz swój kod Open Source? Rok 2015. Możesz zrobić znacznie lepiej.
Zastrzeżenie: Jestem jednym z założycieli WhiteSource, który oferuje elastyczne rozwiązanie do zarządzania komponentami open source.