检查用于评估包安全性和许可率的工具
第三方提供了多种工具来帮助评估软件包的安全性和许可评级。
如上一部分所述,这些工具的一个用法是提供集中式项目存储库。
随时都可以执行扫描,检查作为存储库一部分的包。
第二种方法使用扫描生成管道中所用包的工具。
在生成过程中,该工具可以按版本扫描包,从而提供有关所用包的即时反馈。
检查交付管道中的包
在运行交付管道时,有一些工具可用于对包、组件和源代码执行安全扫描。 通常,此类工具会在生成过程中使用生成项目,并执行扫描。 该工具支持本地项目存储库或中间生成输出。 各自的一些示例是这样的产品:
| 工具 | 类型 |
|---|---|
| Artifactory | 项目存储库 |
| SonarQube | 静态代码分析工具 |
| Mend (Bolt) | 生成扫描。 |
配置管道
管道中许可证类型和安全漏洞扫描的配置是通过在 DevOps 工具中使用适当的生成任务来完成的。 对于 Azure DevOps,这些是生成管道任务。