Melhor resposta
Usamos WhiteSource – detecta automaticamente todos os componentes de código aberto em seu código, enquanto executa sua construção. A WhiteSource gerencia a conformidade e a segurança da licença de código aberto.
A fonte branca foi anunciada como líder pelo relatório oficial da Forrester Wave para o mercado de Análise de Composição de Software (SCA) lançado em abril de 2019.
Uma das principais razões para esta posição, muito acima de todos, é o revolucionário ** WhiteSource Prioritize ** (também conhecido como Effective Usage Analysis) quando trata-se de gerenciar vulnerabilidades de código aberto.
O código-fonte branco pode analisar seu projeto para listar as licenças de código-fonte aberto a serem gerenciadas e o melhor é que o código-fonte branco vai listar as vulnerabilidades de segurança presentes no código-fonte aberto o que você usou em seu aplicativo.
O WhiteSource gerencia a conformidade e a segurança da licença de código aberto ao contrário de qualquer outra solução no mercado.
Ele se integra totalmente ao seu processo de construção, independentemente das linguagens de programação , ferramentas de construção ou ambientes de desenvolvimento. Ele funciona de forma automática, contínua e silenciosa em segundo plano, verificando a segurança e o licenciamento de seus componentes de código aberto em relação ao banco de dados de fi nitivo de repositórios de código aberto constantemente atualizado do WhiteSource. Você nunca precisa interromper o desenvolvimento ou expor seu código proprietário.
Resposta
Presumo que sua frustração tenha a ver com o scanner interferindo em seu SDLC.
Se você estiver usando uma abordagem ágil, usar um scanner é praticamente impossível. Mas, mesmo se você ainda seguir o modelo em cascata, a necessidade de verificar e filtrar milhares de falsos positivos e, em seguida, corrigi-los (o que geralmente envolve uma ruptura e substituição substancial) pode matar seu ritmo de desenvolvimento e cronograma de lançamento.
Realmente não importa qual scanner você usa, se é Palamida ou qualquer outro scanner. A solução é mudar para uma solução ágil. Você pode ler mais na minha postagem do blog aqui Ainda examinando seu código-fonte aberto? É 2015. Você pode fazer muito melhor.
Aviso: Sou um dos fundadores da WhiteSource, que oferece uma solução ágil para o gerenciamento de componentes de código aberto.