Jag skannar kod med Palamida-programvara för att hitta FOSS och överväger att byta till annan skanningsprogramvara. Vilken är den bästa och mest rekommenderade?

Bästa svaret

Vi använder WhiteSource – Detekterar automatiskt alla öppen källkomponenter i din kod medan du kör din build. WhiteSource hanterar öppen källkodsöverensstämmelse och säkerhet.

Vit källa har tillkännagivits som ledare av den officiella Forrester Wave-rapporten för Software Composition Analysis (SCA) -marknaden som släpptes 2019-april.

En av de främsta orsakerna till denna position, Högt över alla andra är den revolutionerande ** WhiteSource Prioritize ** (AKA Effective Usage Analysis) när det handlar om att hantera öppen källkodssårbarheter.

Vitkälla kan analysera ditt projekt för att lista de öppna källkodslicenser som ska hanteras och skönheten är att den vita källan visar de säkerhetsproblem som finns i öppen källkod vad du har använt i din applikation.

WhiteSource hanterar öppen källkodslicens och säkerhet till skillnad från andra lösningar på marknaden.

Den integreras helt i din byggprocess, oavsett dina programmeringsspråk. , bygg verktyg eller utvecklingsmiljöer. Det fungerar automatiskt, kontinuerligt och tyst i bakgrunden och kontrollerar säkerheten och licensiering av dina öppen källkomponenter mot WhiteSource ständigt uppdaterade slutliga databas med öppen källkod. Du behöver aldrig stoppa utvecklingen eller avslöja din egen kod.

Svar

Jag antar att din frustration har att göra med att skannern stör din SDLC.

Om du använder en smidig metod är det ganska omöjligt att använda en skanner. Men även om du fortfarande följer vattenfallsmodellen kan behovet av att skanna och sedan sikta igenom tusentals falska positiva effekter och sedan fixa dem (vilket ofta innebär betydande rivning och ersättning) döda din utvecklingstempo och släppschema.

Det spelar ingen roll vilken skanner du använder, vare sig det är Palamida eller någon annan skanner. Lösningen är att byta till en smidig lösning. Du kan läsa mer i mitt blogginlägg här Skannar du fortfarande din öppen källkod? Dess 2015. Du kan göra mycket bättre.

Ansvarsfriskrivning: Jag är en av grundarna av WhiteSource som erbjuder en smidig lösning för hanteringen av komponenter med öppen källkod.