开源代码检测-达信通成科技

开源软件是提高生产力和软件质量的关键因素，正确的使用开源软件，可以提高产品的竞争力，但是在产品功能不断更新、开发周期不断缩短的压力下，很多公司难以有效的对代码中的开源软件进行有效的识别和管理。而失去管理的开源软件可能会带来多种风险。

风险一：许可证违规

风险二：安全漏洞

风险三：自有知识产权代码泄露

风险四：对“自主可控”造成威胁

这些开源软件带来的风险，不仅会影响到软件公司自身，有时也会对上下游公司、整个行业造成不良影响，甚至影响到国家安全。

想要避免上述风险，就需要对开源软件进行有效的管理。

清楚的了解您所使用的开源软件，是对开源软件进行管理的前提。了解您所使用的开源软件有两层含义：一是了解您的软件代码中都用到了哪些开源代码；二是了解这些开源代码本身的情况及其可能造成的风险。

很多情况会导致公司无法完全了解其软中究竟引入了哪些开源代码，比如：代码的重用、开发人员随意从网络借鉴来的代码、外来代码、有些开源软件本身嵌套的其它开源代码、有时甚至是人为隐瞒了某些开源代码等等。

要发现这些潜在的隐含的开源代码，需要使用专业的开源代码检查工具对软件代码进行检查。目前主流的开源检测工具有两个：

l  FOSSID 开源代码检测工具

l  Black Duck 开源代码检测工具