Автоматически определяем зависимости и составляем SBoM. Проверяем совместимость лицензий и наличие уязвимостей в Open Source компонентах. Настраиваем регулярный процесс.
Среднестатистическое приложение использует больше 500 open source зависимостей, и это число растёт с каждым годом (источник: 2021 OSSRA Report).
Software Bill of Materials (SBoM) — это список всех open source и других сторонних компонент, использующихся в кодовой базе программного продукта. По каждой компоненте SBoM минимально содержит информацию о названии, версии и лицензии. Некоторые форматы обязательным указывают ещё и тип компонента (например, «фреймворк» или «библиотека»).
SBoM должен содержать как прямые, так и транзитивные компоненты, т.е. зависимости зависимостей до последнего уровня вложенности.
На основе SBoM идёт дальнейшая работа по проверке списка зависимостей, например, контроль совместимости лицензий или проверка наличия уязвимостей. А также списки могут быть использованы при подаче в реестр отечественного ПО или быть частью проектной документации в процессе сдачи-приёмки.
Составить SBoM можно с помощью набора готовых инструментов, и любой программист с этим справится. Но эта операция может быть осложнена: - для разных языков и технологий инструменты как правило свои - приведение SBoM к единому нужному формату занимает время - нужно отвлекать программистов на эту работу от более важных фич
Мы можем составить SBoM самостоятельно, не отвлекая разработчиков, в универсальном формате для большинства ключевых языков и технологий.
Проверить лицензии Open Source зависимостей
- мало кто задумывается, но если прижмёт, то будет не круто - руками делать вообще боль - чтобы разработчику погрузиться, надо пройти целый курс - а у нас есть свой курс - если вы в теме, учтём ваши пожелания (white-list, black-list)
Проверить уязвимости Open Source зависимостей
We develop the strategy, conception, and ideology of the project, offer you urban planning ideas and technical solutions, create a full project plan.
Настроить регулярный компонентный анализ
- показать варианты на бесплатных тулах - но и сфокусировать на нашем продукте
Пишите на hello@profiscope.io или заполните форму заказа аудита, и мы свяжемся с вами для уточнения деталей.
Заказать
Решения для автоматизированного аудита исходного кода программ.