Aperçu
À l’aide d’outils d’analyse de composition logicielle (SCA), les équipes de développement de logiciels peuvent suivre et analyser tout code open source introduit dans un projet du point de vue de la conformité des licences et des vulnérabilités de sécurité. Ces outils découvrent le code open source (à différents niveaux de détails et de capacités), leurs dépendances directes et indirectes, les licences en vigueur et la présence de toutes vulnérabilités de sécurité connues et d’exploits potentiels. Plusieurs entreprises fournissent des suites SCA, des outils open source et des services associés pilotés par des projets communautaires. La question de savoir quel outil convient le mieux à un modèle d’utilisation et à un environnement spécifiques se pose toujours. Il est difficile de répondre étant donné l’absence de méthode standard pour comparer et évaluer ces outils.
L’objectif de cet article est de recommander une série de mesures comparatives lors de l’évaluation de plusieurs outils SCA.
La poste Un guide ouvert pour évaluer les outils d’analyse de la composition logicielle est apparu en premier le La Fondation Linux.