近来年,随着互联网技术、特别是移动互联技术的日趋完善,为满足人们生活需要,各种应用程序如雨后春笋般的被开发出来。可是,某些有着相似的功能和布局软件和应用开发的时候,开发者为了快速发布产品,Open source software(OSS)在开发过程中用的越来越多,很多开发者不了解相关的开源许可证的规定,也不进行相应的代码测试,就直接拿来使用;或者稍微改动开源代码中的部分代码,就变成了自己开发的软件,这么做,固然成本低廉而且效率很高,但是,OSS也带来了很多的风险,OSS的安全怎么保障?OSS软件的商务风险怎么办?
案例一
案例二
故大公司也会犯错,也会因为违反了开源代码的使用原则而出现一些不利影响,所以,彻底掌握所有源代码的来源,成为使用开源代码时一个必须考虑的问题。传统管理的成本太大,而且准确性有限,那么有没有一款专业的工具来对代码进行管理呢?
FOSSID 是一个软件解决方案,能够单独部署使用,也可以与现有的开发流程进行无缝集成,能够有效的检测到您的代码库中任何的开源代码痕迹,不论是整个开源组件的引用,还是仅仅引用了一小段代码片段。FOSSID 可以帮您有效的发现并展示出您的软件涉及到的开源License 及相关的合规性,也能够发现并展示出这些开源软件存在的安全漏洞,帮助公司从开源审查这种繁杂的工作中解脱出来,将精力更多的用于如何为用户提供更有价值的产品。
FOSSID 的主要优势
l 精确的检测结果
基于业界最大的开源代码知识库,以及先进的扫描引擎,FOSSID 能够得到准确的扫描结果,不只是整个开源组件的匹配,更能识别出文件甚至时代码片段的匹配。FOSSID的结果能够直接将您使用的开源软件定位到其最初的来源,而不是提供一个中间结果,从而简化了人工确认工作。
l 快速的扫描过程
FOSSID 的超级代码扫描算法能够在毫秒级别分析代码文件,比有些同类产品的扫描速度快数百倍,这种优势,让用户在开发周期中引入开源代码检测环节时,不用耽误大量的时间进行代码扫描,从而保证软件的发布时间。
l 更准确的发现开源代码的安全漏洞
FOSSID 不仅能够通过开源软件的名称和版本识别开源漏洞,还能够通过识别导致安全漏洞的具体代码片段来发现安全漏洞,这种代码片段级的安全漏洞识别能力,可以避免漏洞误报,而这种误报在其它的同类工具中却大量存在。
l 能够直接查询单一代码文件或代码片段的风险
FOSSID 的Quick View 和 Snippet Search 功能,可以对单一代码文件或者代码片段进行快速查询,瞬间找到与之匹配的开源代码,进而了解其存在的风险。在研发早期进行开源代码甄选或者进行代码抽样审查都非常方便。
l 用户代码安全有保障
FOSSID 可以完全部署在您的内网环境下,可以不依赖任何外网的服务器和数据库,也不会有任何数据流量发往外网,从而有效的保障您代码的安全性。
l 无缝集成
不论是作为单独的工具,或者是处于持续集成环境下,FOSSID 轻量化的客户端(既支持Linux,也支持Windows)都可以无缝集成到您的开发流程当中。同时也为用户提供了RestFul API 接口,满足用户的各种集成需求。
欢迎关注微信公众号,与我们交流。