Scroll to top
en pl

WhiteSource – co to jest i jak działa


Armin Orlik - 16 maja 2019 - 0 comments

Czym jest WhiteSource?

WhiteSource to idealne rozwiązanie do zarządzania komponentami open-source, które łączy w sobie aspekty bezpieczeństwa, licencjonowania i wysoką jakość. Działa w czasie rzeczywistym, automatycznie i nieprzerwanie aktualizując bazy bezpieczeństwa, łączy je bezpośrednio z komponentami open-source zidentyfikowanymi w repozytoriach użytkownika (w wyznaczonych zasobach).

Wtyczka WhiteSource utomatyzuje tworzenie i egzekwowanie polityki open-source firmy, a także centralizuje komunikację między działami i procesy akceptacji. Dodatkowo dostarcza szczegółowe raporty dotyczące projektowych inventory  i zapewnia powiadomienia w czasie rzeczywistym, dzięki czemu w razie potrzeby użytkownik może szybko zareagować.

Oprogramowanie to jest kompatybilne z większością języków programowania, serwerami CI, narzędziami do kompilacji i innymi środowiskami programistycznymi. Największa zaleta tej wtyczki to fakt, że wymaga od użytkownika tylko podłączenia, bez konieczności regularnej konfiguracji lub dodatkowej obsługi.

Jak używać WhiteSource?

Krok 1: Integracja wtyczki WhiteSource

Na początku należy zintegrować wtyczki WhiteSource z serwerami CI, kompilatorami lub repozytoriami. Wtyczki Whitesource są bardzo lekkie (to tylko kilka KB) i łatwe do instalacji (zajmie to tylko kilka minut). Dzięki temu nie wpływają na czas kompilacji.

Istnieją dwie możliwości – stałe podłączenie wtyczki WhiteSource do kompilatora lub użycie komendy w wierszu polecenia dla jednorazowej analizy bez wykorzystania kompletnej wtyczki.

Raz zainstalowana wtyczka WhiteSource może być w pełni skonfigurowana tak, aby przyjmować lub wykluczać konkretne rozszerzenia plików.

Krok 2: Kompilacja projektu

Podczas kompilacji wtyczka ustala cyfrową sygnaturę (SHA-1) dla każdej biblioteki i łączy poszczególne sygnatury z ogromną bazą danych WhiteSource. W ten sposób codziennie i nieustannie śledzone jest ponad 3 miliony projektów open-source. Ten proces nie wymaga jednak żadnego dostępu lub skanowania kodu użytkownika, ponieważ tylko komponenty SHA-1 są przesyłane na serwer WhiteSource.

Krok 3: Zdefiniowanie warunków

Wtyczka WhiteSource oferuje szereg możliwości, takich jak: zdefiniowanie automatycznych zasad  dla czynności akceptacji, odrzucenia i konfigurowania protokołów wewnętrznych procesów akceptacji dla licencji typu open-source, częstości potencjalnych zagrożeń bezpieczeństwa, daty utworzenia bibliotek i wiele więcej. Gdy tylko programista spróbuje dodać komponent open-source, który nie jest automatycznie akceptowany przez zdefiniowane wcześniej zasady, system poinformuje o tym użytkownika poprzez alert lub zablokowanie możliwości zbuildowania projektu.

Krok 4: Optymalizacja zarządzania komponentami open-source

WhiteSource ułatwia programistom podejmowanie lepszych decyzji w kwestii komponentów, które powinni dodać do projektu. Jest to możliwe dzięki narzędziu WhiteSource – Selection.

Wystarczy zainstalować wtyczkę do przeglądarki, a programiści będą w stanie zobaczyć czy dany komponent jest zgodny z ustalonymi wcześniej warunkami, już podczas przeglądania sieci. Dodatkowo istnieje możliwość podglądu takich danych jak: raporty zagrożeń bezpieczeństwa, stopień jakości, typ licencji, dostępność nowszych wersji i wiele więcej.

Analiza rezultatów

WhiteSource wykryje wszystkie komponenty open-source w repozytorium i wyświetli wszystkie odpowiednie metadane – zarówno kodu binarnego, jak i źródłowego tych komponentów.

Metadane zawierają informacje o wersji, bezpośrednich i pośrednich zależnościach, lukach w zabezpieczeniach z identyfikacją CVE i stopniem zagrożenia, informacje licencyjne i analizę ryzyka, stopień jakości i inne.

Po każdym skanowaniu, wtyczka ładuje tylko nowo dodane pliki, a metadane zostają odpowiednio zaktualizowane.

***

Czy chcesz dowiedzieć się więcej o możliwościach i zastosowaniach WhiteSource? Skontaktuj się z nami – konsultanci Deviniti chętnie odpowiedzą na wszystkie pytania!

Related posts