Dovremmo usare Black Duck per scansionare le librerie Open Source e di terze parti che la nostra applicazione iOS e Android ha usato?

Dovreste sicuramente usare *una* soluzione per controllare le librerie Open Source (componenti) che vanno in qualsiasi applicazione, indipendentemente dalla piattaforma su cui girano.

Queste soluzioni coprono due aspetti importanti - Licenza e vulnerabilità di sicurezza, insieme all'età del componente e come viene mantenuto.

Utilizzare componenti con la licenza corretta per l'intenzione di distribuzione dell'applicazione è cruciale per proteggere la proprietà intellettuale e garantire che le vulnerabilità di sicurezza siano rilevate, aiuta a mantenere le applicazioni dagli hack.

La risposta di WhiteSource è un po' datata sull'offerta di Black Duck. Black Duck funziona in modo simile a WhiteSource, 'scanning'so quali componenti sono stati consumati in un app e anche andando in analisi snippet, dove necessario. BD si integra anche con strumenti esterni, fornisce avvisi e permette la ricerca di componenti prima dell'inclusione nei progetti. I dati disponibili da BD sono molto più completi di WhiteSource e altre soluzioni, in particolare sulla sicurezza, la licenza e l'analisi dei contributori Open Source, versioni e tendenze.

Nota - Protecode è effettivamente morto da quando Synopsis ha acquisito Black Duck. Open Logic non aggiorna la sua Knowledge Base Open Source da molti anni e fa qualcosa di completamente diverso ora.

Quale soluzione sceglierete dipenderà molto dalle lingue in cui sono scritte le vostre applicazioni, da quanti utenti avete e dal vostro budget. Alcune soluzioni sono più convenienti di altre.