如何快速发现使用的开源组件的license和冲突?最快的方法当然是借助相关工具进行扫描源代码,发现并确认其中存在的开源代码,及其版本、许可证(License)信息等,形成“材料清单”。使用fossid可以让用户了解其代码中包含的开源代码成分,并分析这些开源代码可能带来的风险(知识产权风险、安全漏洞风险等)。材料清单中会有相关CVE漏洞的提示。
FOSSID 是一个软件解决方案,能够单独部署使用,也可以与现有的开发流程进行无缝集成,能够有效的检测到您的代码库中任何的开源代码痕迹,不论是整个开源组件的引用,还是仅仅引用了一小段代码片段。FOSSID 可以帮您有效的发现并展示出您的软件涉及到的开源License 及相关的合规性,也能够发现并展示出这些开源软件存在的安全漏洞,帮助公司从开源审查这种繁杂的工作中解脱出来,将精力更多的用于如何为用户提供更有价值的产品。 FOSSID 的主要优势 l 精确的检测结果 基于业界最大的开源代码知识库,以及先进的扫描引擎,FOSSID 能够得到准确的扫描结果,不只是整个开源组件的匹配,更能识别出文件甚至时代码片段的匹配。FOSSID的结果能够直接将您使用的开源软件定位到其最初的来源,而不是提供一个中间结果,从而简化了人工确认工作。 l 快速的扫描过程 FOSSID 的超级代码扫描算法能够在毫秒级别分析代码文件,比有些同类产品的扫描速度快数百倍,这种优势,让用户在开发周期中引入开源代码检测环节时,不用耽误大量的时间进行代码扫描,从而保证软件的发布时间。 l 更准确的发现开源代码的安全漏洞 FOSSID 不仅能够通过开源软件的名称和版本识别开源漏洞,还能够通过识别导致安全漏洞的具体代码片段来发现安全漏洞,这种代码片段级的安全漏洞识别能力,可以避免漏洞误报,而这种误报在其它的同类工具中却大量存在。 l 能够直接查询单一代码文件或代码片段的风险 FOSSID 的Quick View 和 Snippet Search 功能,可以对单一代码文件或者代码片段进行快速查询,瞬间找到与之匹配的开源代码,进而了解其存在的风险。在研发早期进行开源代码甄选或者进行代码抽样审查都非常方便。 l 用户代码安全有保障 FOSSID 可以完全部署在您的内网环境下,可以不依赖任何外网的服务器和数据库,也不会有任何数据流量发往外网,从而有效的保障您代码的安全性。 l 无缝集成 不论是作为单独的工具,或者是处于持续集成环境下,FOSSID 轻量化的客户端(既支持Linux,也支持Windows)都可以无缝集成到您的开发流程当中。同时也为用户提供了RestFul API 接口,满足用户的各种集成需求。
6323
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
