WhiteSource Détection des vulnérabilités et gestion des licences librairies Open Source


WhiteSource
  • Langages : Ruby , JavaScript , Python , php , C# , C++ , node.js
  • Secteurs d'activité : Spatial , Automobile , Ferroviaire , Médical , Nucléaire , Autres Industries , IT - Systèmes d'informations , Avionique
  • Fournisseur : WHITESOURCE
WhiteSource est une solution d’analyse de codes détectant automatiquement les librairies Open Source qui y sont intégrées, ainsi que les défauts et les vulnérabilités connues de ces librairies Open Source.
De nos jours, bon nombre d’applications industriels utilisent des libraires Open Source, dont le nombre peut être si important qu’il est très difficile voire impossible de maintenir à jour leur inventaire manuellement. Cela est encore plus vrai si on souhaite connaître en temps réel les vulnérabilités qui affectent ces librairies Open Source.
Par nature, les logiciels Open Source sont communautaires, et même s’il y a un « responsable » initial du projet, leur développement est souvent distribué : Il y a un flot continu d’évolutions, de correctifs. Toutes ces alertes et modifications sur les défauts ou vulnérabilités trouvés ou corrigés sont répertoriées sur des serveurs différents. Il devient alors très difficile de connaitre avec précision la qualité de la version qu’on utilise. Seule une approche d’analyse automatisée du code permet d’avoir cette vue globale sur les librairies Open Source intégrées à son logiciel : c’est ce qu’amène la solution WhiteSource.
WhiteSource_fonctionnement

Devenue une pratique courante de nos jours, l’intérêt de l’utilisation de l’Open Source n’est plus à démontrer, ne serait-ce que par le gain de temps que cela amène. Il est souvent plus avantageux d’utiliser une librairie Open Source largement diffusée pour réaliser une fonction que de la recréer soi-même. Néanmoins si cette pratique s’est largement diffusée, l’augmentation de l’utilisation de l’Open Source a entrainé une augmentation des vulnérabilités. De plus, bon nombre de librairies Open Source sont enfouies dans des codes existants sans qu’on en ait conscience, librairies pouvant être soumises à des droits d’utilisation ou de licence particuliers. Il est donc devenu primordial, voire crucial pour les équipes de développement ainsi que les responsables, d’être non seulement à même de cartographier l’ensemble des librairies Open Source utilisées au sein de les développements, mais également d’en connaitre les vulnérabilités.
Comment cela fonctionne ?

WhiteSource surveille en permanence vos composants Open Source à chaque étape du cycle de vie du développement logiciel, et ce même après leur publication, sur la base du dernier rapport d'inventaire. Une fois intégré à votre projet, il fonctionne de manière continue et automatique, en gardant un œil attentif sur vos composants Open Source.

Intégré sous forme de plugin dans l’environnement de développement, WhiteSource calcule la signature digitale de chaque librairie Open Source présente dans le code utilisateur. Cette signature est alors comparée à l’ensemble des signatures de toutes les librairies Open Source existantes à travers les bases de données des composants Open Source. WhiteSource ne rapatrie aucun code utilisateur sur ces bases de données, il ne fait que comparer la signature digitale des librairies Open Sources utilisées dans le code. Les bases de données de WhiteSource regroupent les références de la plus grande majorité de librairies Open source au monde, soit plus de 200 langages de programmation ainsi que l’ensemble des distributions Linux. Quelque soit l’origine du projet Open Source dont les librairies que vous utilisez sont issues, Whitesource les connaitra.

Avantages WhiteSource

Avantages_WhiteSource-ISIT

WhiteSource & Cycle de Développement :

Téléchargez le rapport détaillé de WhiteSource SW : "Quels sont les langages de programmation les plus sûrs ?"

A propos de WhiteSource

Fondée en 2001, WhiteSource dispose de bureaux à Tel Aviv, Boston et New York et s’appuie sur un réseau de partenaires à travers le monde. WhiteSource offre la seule solution tout-en-un permettant de gérer les composants Open Source que vous utilisez comme briques logicielles pour concevoir vos applications. Il vous aide à trouver les composants optimaux et vous avertit automatiquement des vulnérabilités de sécurité connues, des bogues, des nouvelles versions, des correctifs et des correctifs dans les composants que vous utilisez. Il automatise la création et l’application des règles de licence de votre entreprise et centralise les communications entre les diverses équipes ainsi que  les processus d’approbation. C’est tout ce dont les équipes de développement logiciel ont besoin pour tirer le meilleur parti de l’utilisation de composants open source, sans les difficultés de leur gestion, afin de pouvoir se concentrer sur ce qu’elles doivent faire, développer vos logiciels.