white source ： 包扫描工具

1. 扫描 license 问题

2. 扫描 安装包 的漏洞问题

3. 扫描 安装包 版本问题

4. 扫描 安装包 冲突问题

……

 

(150条消息) WhiteSource-开源代码安全检测工具_chidi0225的博客-CSDN博客

 

随着在开发应用系统过程中，企业运用开源软件的比例越来越高，其中衍生出的软件管理问题也越来越多，但市面上针对开发端所提供的软件管理工具却屈指可数，使得软件团队只关注其检测自主代码的潜在问题，往往忽视了对开源组件中已知漏洞的检查。而在使用开源组件时，企业必须要确保遵循所有组件包括传递性依赖库的许可，WhiteSource可以帮助解决这一问题。

WhiteSource是什么

WhiteSource是管理开源组件的一站式安全、许可和质量的解决方案。它可以准确检测所有开源许可，包括库的许可，自动化强制实施在新加组件上的许可政策。用户因此可以阻挡不期望的组件进入自己的软件。

   检测    

· 在构建和代码库中，自动检测所有开源组件，包括传递性依赖库。
· 在软件开发周期中检测组件的已知漏洞，提供修复建议。

    选择    

· 当开发人员在线搜索开源组件时，选择工具（作为浏览器插件）帮助提供安全、许可和政策信息。
· 用户将获得每个组件的详细预览，包括其漏洞、许可以及该组件是否已经用在你的企业中了。

   警告    

· 在软件开发生命周期中自动化强制实施政策，对政策的违反产生实时报警。用户因此可以取消构建，或者开启一个批准过程。

· 报警的设置根据漏洞的严重性、许可类型、严重的软件缺陷、新版本、组件的年龄和其它。

· 获得历史版本中最近发现的漏洞的警报，WhiteSource持续监控每个版本的最近一次构建。

   报告    

· 依据上一次构建，一键点击生成详细的清单、风险、安全性、法律和尽职调查（Due Diligence）的报告。
· 为所有许可的发布和著作权信息自动生成发布管理报告，节省发布之前的时间和劳动。

 

WhiteSource能实现什么

WhiteSource拥有最为广泛的安全漏洞数据库，从多个来源收集漏洞，提供详细的修复信息；

在软件开发生命周期（SDLC）中，包括软件发布之后，WhiteSource对用户做出实时提醒，以便积极主动地提前修复所有问题；

WhiteSource也自动化新增开源组件的批准过程，因此提高了开发效率。

支持的二进制文件格式和语言

WhiteSource的主要优势有哪些

  准确性   

WhiteSource拥有最完善的已知开源漏洞数据库。是唯一提供全面覆盖且没有误报的解决方案。

  完整的SDLC覆盖范围   

在软件开发生命周期（SDLC）的所有阶段，从选择阶段、开发期间甚至部署后，保护和管理开源组件。还可以整合所有常用构建工具和CI服务器。

  所有团队支持    

不断跟踪开源组件中的安全漏洞、许可证和软件错误确保安全。项目工程和法律团队都将享受WhiteSource解决方案的可见性，简单性和准确性。