Devemos usar o Black Duck para digitalizar bibliotecas Open Source e de terceiros que o nosso aplicativo iOS e Android usou?

Você deve definitivamente usar *a* solução para verificar bibliotecas de código aberto (componentes) que vão para qualquer aplicativo, seja qual for a plataforma em que rodam.

Estas soluções cobrem dois aspectos importantes - Vulnerabilidades de licença e segurança, juntamente com a idade do componente e como ele é mantido.

Usar componentes com a licença correta para a intenção de distribuição da aplicação é crucial para proteger a propriedade intelectual e garantir que as vulnerabilidades de segurança sejam detectadas, ajuda a manter as aplicações longe de hacks.

A resposta do WhiteSource está um pouco desatualizada na oferta do Black Duck. Black Duck funciona de maneira similar ao WhiteSource, 'varrendo' quais componentes foram consumidos em um aplicativo e também entrando em análise de snippet, onde necessário. BD também se integra com ferramentas externas, fornece alertas e permite a pesquisa de componentes antes da inclusão em projetos. Os dados disponíveis no BD são muito mais abrangentes do que o WhiteSource e outras soluções, particularmente em Segurança, Licença e análise de contribuidores Open Source, versões e tendências.

Note - Protecode está efetivamente morto desde que a Synopsis adquiriu o Black Duck. A Open Logic não atualiza sua Base de Conhecimento Open Source há muitos anos e faz algo completamente diferente agora.

Qual solução você escolher dependerá muito de quais idiomas seus aplicativos estão escritos, quantos usuários você tem e seu orçamento. Algumas soluções têm um preço mais elevado do que outras.