Компонентный анализ
исходного кода
исходного кода
Автоматически определяем зависимости и составляем SBoM.
Проверяем совместимость лицензий и наличие уязвимостей в Open Source компонентах.
Настраиваем регулярный процесс.
Проверяем совместимость лицензий и наличие уязвимостей в Open Source компонентах.
Настраиваем регулярный процесс.
Заказать аудит
Пожалуйста, опишите вашу проблему и ожидания
Составить SBoM
Среднестатистическое приложение использует больше 500 open source зависимостей, и это число растёт с каждым годом (источник: 2021 OSSRA Report).
Software Bill of Materials (SBoM) — это список всех open source и других сторонних компонент, использующихся в кодовой базе программного продукта. По каждой компоненте SBoM минимально содержит информацию о названии, версии и лицензии. Некоторые форматы обязательным указывают ещё и тип компонента (например, «фреймворк» или «библиотека»).
SBoM должен содержать как прямые, так и транзитивные компоненты, т.е. зависимости зависимостей до последнего уровня вложенности.
На основе SBoM идёт дальнейшая работа по проверке списка зависимостей, например, контроль совместимости лицензий или проверка наличия уязвимостей. А также списки могут быть использованы при подаче в реестр отечественного ПО или быть частью проектной документации в процессе сдачи-приёмки.
Составить SBoM можно с помощью набора готовых инструментов, и любой программист с этим справится. Но эта операция может быть осложнена:
- для разных языков и технологий инструменты как правило свои
- приведение SBoM к единому нужному формату занимает время
- нужно отвлекать программистов на эту работу от более важных фич
Мы можем составить SBoM самостоятельно, не отвлекая разработчиков, в универсальном формате для большинства ключевых языков и технологий.
Software Bill of Materials (SBoM) — это список всех open source и других сторонних компонент, использующихся в кодовой базе программного продукта. По каждой компоненте SBoM минимально содержит информацию о названии, версии и лицензии. Некоторые форматы обязательным указывают ещё и тип компонента (например, «фреймворк» или «библиотека»).
SBoM должен содержать как прямые, так и транзитивные компоненты, т.е. зависимости зависимостей до последнего уровня вложенности.
На основе SBoM идёт дальнейшая работа по проверке списка зависимостей, например, контроль совместимости лицензий или проверка наличия уязвимостей. А также списки могут быть использованы при подаче в реестр отечественного ПО или быть частью проектной документации в процессе сдачи-приёмки.
Составить SBoM можно с помощью набора готовых инструментов, и любой программист с этим справится. Но эта операция может быть осложнена:
- для разных языков и технологий инструменты как правило свои
- приведение SBoM к единому нужному формату занимает время
- нужно отвлекать программистов на эту работу от более важных фич
Мы можем составить SBoM самостоятельно, не отвлекая разработчиков, в универсальном формате для большинства ключевых языков и технологий.
Проверить лицензии Open Source зависимостей
- мало кто задумывается, но если прижмёт, то будет не круто
- руками делать вообще боль
- чтобы разработчику погрузиться, надо пройти целый курс
- а у нас есть свой курс
- если вы в теме, учтём ваши пожелания (white-list, black-list)
- руками делать вообще боль
- чтобы разработчику погрузиться, надо пройти целый курс
- а у нас есть свой курс
- если вы в теме, учтём ваши пожелания (white-list, black-list)
Проверить уязвимости Open Source зависимостей
We develop the strategy, conception, and ideology of the project, offer you urban planning ideas and technical solutions, create a full project plan.
Настроить регулярный компонентный анализ
- показать варианты на бесплатных тулах
- но и сфокусировать на нашем продукте
- но и сфокусировать на нашем продукте
Пишите на hello@profiscope.io или заполните форму заказа аудита, и мы свяжемся с вами для уточнения деталей.