< Retour aux infos-presse

Distribution WhiteSource

ISIT
ISIT

COMMUNIQUÉ de PRESSE

ISIT signe un nouvel accord de distribution avec WhiteSource

Toulouse le 21 janvier 2019. ISIT, distributeur à valeur ajoutée spécialisé dans le domaine du temps réel, distribue désormais en France les produits de la société Israélienne WhiteSource, un des leaders mondiaux dans les outils de détection et d’analyse des codes Open Source utilisés dans la conception des logiciels.

Devenue une pratique courante de nos jours, l’intérêt de l’utilisation de l’Open Source n’est plus à démontrer, ne serait-ce que par le gain de temps que cela amène. Il est souvent plus avantageux d’utiliser une librairie Open Source largement diffusée pour réaliser une fonction que de la recréer soi-même. Néanmoins si cette pratique s’est largement diffusée, l’augmentation de l’utilisation de l’Open Source a entrainé une augmentation des vulnérabilités. De plus, bon nombre de librairies Open Source sont enfouies dans des codes existants sans qu’on en ait conscience, librairies pouvant être soumises à des droits d’utilisation ou de licence particuliers. Il est donc devenu primordial, voire crucial pour les équipes de développement ainsi que les responsables, d’être non seulement à même de cartographier l’ensemble des librairies Open Source utilisées au sein de les développements, mais également d’en connaitre les vulnérabilités.

Avec le nombre potentiellement important de libraires utilisées, il est très difficile voire impossible de maintenir à jour manuellement la liste de librairies qui sont utilisées. Et cela est encore plus vrai si on souhaite connaître en temps réel les vulnérabilités potentielles qui affectent ces librairies. En effet, par nature les logiciels Open Source sont communautaires, et même s’il y a un « responsable » initial du projet, leur développement est souvent distribué : Il y a un flot continu d’évolutions, de correctifs. Toutes ces alertes et modifications sur les défauts ou vulnérabilités trouvés ou corrigés sont répertoriées sur des serveurs différents. Il devient alors très difficile de connaitre avec précision la qualité de la version qu’on utilise. Seule une approche d’analyse automatisée du code permet d’avoir cette vue globale sur les librairies Open Source intégrées à son logiciel. C’est ce qu’amène la solution WhiteSource : une analyse de vos sources pour détecter les librairies Open Source qui y sont intégrées, ainsi qu’un monitoring en temps réel de la qualité de ces libraires en termes de défauts et de vulnérabilités connues sur ces librairies.

Comment cela fonctionne ?
WhiteSource surveille en permanence vos composants Open Source à chaque étape du cycle de vie du développement logiciel, et ce même après leur publication, sur la base du dernier rapport d'inventaire. Une fois intégré à votre projet, il fonctionne de manière continue et automatique, en gardant un œil attentif sur vos composants Open Source.

Intégré sous forme de plugin dans l’environnement de développement, WhiteSource calcule la signature digitale de chaque librairie Open Source présente dans le code utilisateur. Cette signature est alors comparée à l’ensemble des signatures de toutes les librairies Open Source existantes à travers les bases de données des composants Open Source. WhiteSource ne rapatrie aucun code utilisateur sur ces bases de données, il ne fait que comparer la signature digitale des librairies Open Sources utilisées dans le code. Les bases de données de WhiteSource regroupent les références de la plus grande majorité de librairies Open source au monde, soit plus de 200 langages de programmation ainsi que l’ensemble des distributions Linux. Quelque soit l’origine du projet Open Source dont les librairies que vous utilisez sont issues, Whitesource les connaitra.
WhiteSource_fonctionnement
A propos de WhiteSource
Fondée en 2001, WhiteSource dispose de bureaux à Tel Aviv, Boston et New York et s’appuie sur un réseau de partenaires à travers le monde. WhiteSource offre la seule solution tout-en-un permettant de gérer les composants Open Source que vous utilisez comme briques logicielles pour concevoir vos applications. Il vous aide à trouver les composants optimaux et vous avertit automatiquement des vulnérabilités de sécurité connues, des bogues, des nouvelles versions, des correctifs et des correctifs dans les composants que vous utilisez. Il automatise la création et l’application des règles de licence de votre entreprise et centralise les communications entre les diverses équipes ainsi que  les processus d’approbation. C’est tout ce dont les équipes de développement logiciel ont besoin pour tirer le meilleur parti de l’utilisation de composants open source, sans les difficultés de leur gestion, afin de pouvoir se concentrer sur ce qu’elles doivent faire, développer vos logiciels.

A propos d’ISIT : Au cœur du Temps Réel Embarqué

Contact Produit :
Fréderic MARAVAL – Responsable Produits Systèmes embarqués et Qualité logicielle – fmaraval@isit.fr