开发者在项目里使用开源程序库的情况,可说是相当常见,而针对这种程序库的安全性,市面上的解决方案并不多。而最近新创公司WhiteSource最近针对采用GitHub进行软件版本管控的用户,推出了免费版本WhiteSource Bolt,试图吸引更多开发者的目光。
这套解决方案能协助开发者快速找出可能的弱点,并且直接输出到GitHub的问题(Issue)列表中呈现,WhiteSource Bolt会列出CVE编号、CVSS 3危险指数,以及能够套用的更新信息,让开发团队能够分派给负责的人员执行。WhiteSource Bolt与付费版本的公用特性,在于能够支持超过200种的程序语言,也具备比对NVD等多家弱点数据库的功能。
不过,这个版本的最大限制,就是一天之内只能执行5次扫描作业,没有专用的主控台,而且无法管控其他代码管理平台上的项目。
开发者除了能从GitHub上关注WhiteSource Bolt找到的弱点,也会从电子邮件收到相关的通知。