Однажды перед вами встанет вопрос: “Насколько наш код принадлежит нам?». Это может быть вопрос от генерального директора по просьбе Совета Директоров или от крупного заказчика, которому нужно оценить оригинальность цепочки поставщиков ПО. Возможно, с вопросом к вам подойдут юристы, которые занимаются получением свидетельства об интеллектуальной собственности или готовят документы для крупного инвестиционного соглашения.
Этот день настанет, и от вас потребуют предоставить реестр open source компонентов, используемых в вашем продукте, включая все зависимости и связанные лицензии.
Вы будете делать это подручными средствами?
Вы можете учитывать использование лицензий в электронной таблице, системе отслеживания ошибок или системе сборки программных проектов, но тогда этот вопрос принесет вам, возможно, головную боль − все эти инструменты предназначены для других целей. И даже если ваша команда способна таким образом четко учитывать компоненты с открытым кодом и лицензии, то отслеживание прямых и наследованных зависимостей компонентов и каждой соответствующей лицензии чрезвычайно затруднено.
Вы, конечно, можете оставить эту задачу финальной проверке перед выпуском кода, но этот подход достаточно дорогой и трудоемкий. Сканеры кодов выдают большое количество ошибочных совпадений и избыточной информации, а ваши разработчики вынуждены корпеть над отчетами пост-сканирования. Кто будет за это платить? Никто не будет этого делать, когда у вас дедлайн. И это может скомпрометировать ваш код. Такой подход не предотвратит проблему, когда вы увидите проблемные компоненты на этапе релиза. Вам придется все переделать, а это время и деньги. Предрелизное сканирование кода − это заплатка, и оно не поможет, если об ошибке становится известно уже после релиза вашего продукта.
Автоматизируйте процесс управления open source компонентами
Решение WhiteSource постоянно и автоматически отслеживает все open source компоненты в вашем коде и создает перекрестные ссылки на них в непрерывно обновляемой базе данных из более чем 3 млн. библиотек с открытым кодом. База содержит информацию об уязвимостях, качестве и лицензиях всех open source компонентов. Если возникает проблема в одной из библиотек, которую вы включили в свой проект, решение WhiteSource незамедлительно уведомит вас об этом. Кроме того проверит все open source компоненты, которые вы хотите включить в проект, на соответствие вашей политике использования открытого кода.
Полный отчет использования open source компонентов одним щелчком мыши
Один щелчок мыши ─ и WhiteSource сгенерирует за вас полный, точный на 100%, актуальный в настоящий момент реестр программных компонентов. Вы можете сгенерировать реестр, который содержит подробный перечень всех ваших компонентов с открытым кодом, их связанных библиотек, зависимостей, лицензий, их расположение в вашей сборке, а также релевантных обновлений, уязвимостей и требований о соответствии. И все это в режиме реального времени.