开源代码检测

检测用户代码库,发现其中的开源代码,并分析开源代码的相关风险。

关键词:开源、OSS、代码扫描、FOSSID、Black Duck、代码合规性、开源许可证、GPL、安全漏洞


  • 商品介绍
  • 规格参数
  • 开源软件是提高生产力和软件质量的关键因素,正确的使用开源软件,可以提高产品的竞争力,但是在产品功能不断更新、开发周期不断缩短的压力下,很多公司难以有效的对代码中的开源软件进行有效的识别和管理。而失去管理的开源软件可能会带来多种风险。

    风险一:许可证违规

    风险二:安全漏洞

    风险三:自有知识产权代码泄露

    风险四:对“自主可控”造成威胁

    这些开源软件带来的风险,不仅会影响到软件公司自身,有时也会对上下游公司、整个行业造成不良影响,甚至影响到国家安全。

     

    想要避免上述风险,就需要对开源软件进行有效的管理。

    清楚的了解您所使用的开源软件,是对开源软件进行管理的前提。了解您所使用的开源软件有两层含义:一是了解您的软件代码中都用到了哪些开源代码;二是了解这些开源代码本身的情况及其可能造成的风险。

    很多情况会导致公司无法完全了解其软中究竟引入了哪些开源代码,比如:代码的重用、开发人员随意从网络借鉴来的代码、外来代码、有些开源软件本身嵌套的其它开源代码、有时甚至是人为隐瞒了某些开源代码等等。

    要发现这些潜在的隐含的开源代码,需要使用专业的开源代码检查工具对软件代码进行检查。目前主流的开源检测工具有两个:

    l  FOSSID 开源代码检测工具

    l  Black Duck 开源代码检测工具