よくある質問

 

WhiteSourceとは何ですか?

WhiteSourceはオープンソースマネジメントに対してアジャイルなアプローチを提供します。
WhiteSourceはビルドプロセスを統合し、ビルドを実行するたびにオープンソースライセンス、セキュリティなどを監査するSaaSソリューションです。
3百万を超えるオープンソースプロジェクトの広範なナレッジベースにより、開発者が問題のあるコンポーネントを追加するたびに、または新しいセキュリティ上の脆弱性が発見された場合に、リアルタイムのアラートを提供することができます。また、当社の製品はマネジメント、法律、営業チームと共有するために、いつでも包括的で正確で最新のレポートをダウンロードすることができます。
 

あなたの製品にはどのように機能するでしょうか?

私たちのプラグインはプロセスを構築し、コードをスキャンすることなくすべてのコンポーネントのデジタル署名を計算します。その後、開いているコードコンポーネントに関する情報をWhiteSourceサーバーに送信します。これは300万を超えるオープンソースプロジェクトのWhiteSourceナレッジベースにすべてのコンポーネントと依存性を一致させます。 検出されたすべてのコンポーネントと問題を識別する即時最新レポートが作成されます。それはあなたがあなたのビルドを実行するたびにそのことを行います。

 

WhiteSourceはすべての言語とビルドツールで動作しますか?

WhiteSourceはすべての一般的なプログラミング言語とビルドツール/サーバーをサポートしています。言語ページでサポートされている12のプログラミング言語と、プラグインページで提供されている15のビルドエージェントを確認してください。
このリストにないシステム用のプラグインをお探しの場合は、お知らせください。
 

ビルドツール/サーバー用のプラグインが見つかりません。その場合は、WhiteSourceがサポートできないということでしょうか?

WhiteSourceはビルドツールやCIサーバーとは独立して、すべての言語をサポートするファイルシステムエージェントを提供します。ファイルシステムエージェントは、任意のフォルダとそのすべてのサブフォルダ(再帰的)でオープンソースコンポーネントを探すコマンドラインツールです。

 

どのように価格設定が行われますか?

貢献開発者数、使用しているプログラミング言語数、製品(アプリケーション)数により、価格が設定されます。私たちの製品の定義はあなたのものと同じです。商用製品としてパッケージ化されたすべてのソフトウェアは、当社が請求する単一の製品に分類されます。たとえばWebアプリケーションは「製品」とみなされ、モバイルアプリも同様です。詳しくは、WhiteSource営業担当者にお問合せください。

 

自分のコードはクラウドベースのサービスで保護されていますか?

はい。独自のコードはWhiteSourceクラウドに送信されることはありません。あなたのWhiteSourceプラグインはあなたのオープンソースコンポーネントを識別し、WhiteSourceにのみ署名を送信します。 WhiteSourceはAmazon Web Services(AWS)でホストされ、SOC認定を受けています。
 

オンプレミスのオプションを提供していますか?

WhiteSourceはクラウドベースのサービスですが、必要に応じてオンプレミスオプションも提供しています。WhiteSourceは、コードをスキャンするソリューションではないことが、とても重要です。

 

コードをアップロードしない場合、開発者がオープンソースからコピーしたコードスニペットをどのように特定できますか?

ここが、従来のスキャナベースのソリューションとは異なるところです。私たちはコードスニペットを特定しません。むしろプロジェクトに導入された時点で、ライブラリを介してオープンソースコンポーネントを識別します。コードスニペットを検出すると、これは通常問題がより厳しいです。それは、開発工程の後半に発生することが多いため、処理するのに費用がかかり、複雑で誤認識も多い傾向にあります。
 

オープンソースを手動で追跡しています。なぜWhiteSourceが必要なのでしょうか?

手動レポーティングの問題は、手動レポーティングであっても、完全にコンプライアンス準拠を求められることです。人間は完全な存在ではなく、常に正しいことをすべて得ているわけではありません。これは開発プロジェクトで特に当てはまります。特にイノベーションを起こそうとこれまで以上に速く働いているときはそうでしょう。
現在、開発者はサブコンポーネントを含めインポートしたすべてのオープンソースライブラリを調べ、使用したコンポーネントを文書化する必要があります。ほとんどの企業ではプロジェクトマネージャーまたはチームリーダーの1人をオープンソースの「所有者」として任命し、すべての依存性をマニュアルで報告し、すべてのライセンスを確認させます。
完全な精度かつ低コストで自動的に実行できるWhiteSourceを使用しないことは、時間の無駄ではないでしょうか?

 

コードスキャナーでコードを監査しています。なぜWhiteSourceが必要ですか?

コードスキャン技術は、アジャイルが主流になる前の2001年に登場しました。一方、WhiteSourceは操作性の高いアプローチを提供しています。
コードスキャンには3つの重要な欠点があります。

スキャンは定期的に行われ、通常はプレリリースされます。その時点で問題を見つけることは、コンポーネントの交換の複雑さとリリースのタイムラインに達するリスクのために非常に高価です。WhiteSourceはビルドを実行するたびにコードを監査するため、より簡単で安価なプロセスの早い段階で問題を修正することができます。

コードをスキャンする作業は時間がかかります。とんどすべての場合、スキャンの結果、何千もの可能性のある一致が発生します。その大部分は誤検出であり、多くの時間を費やすことになります。小麦を籾殻から分離するために、開発者の多くの時間を無駄にするのです。

スキャナは複雑です。オンプレミスのインストールとかなりのカスタマイズが必要です。つまり開発者を訓練し、スキャナとプロセスを習得するために時間を大幅に費やすことになります。
 

WhiteSourceはISO27001は認証されていますか?
はい。WhiteSourceはISO27001の認証を受けています。

その他のご質問はありますか? お問合わせください!