Le toulousain ISIT, distributeur à valeur ajoutée qui officie dans le domaine des outils matériels et logiciels pour systèmes temps réel embarqués, distribue en France les technologies de la société israélienne WhiteSource, un spécialiste des outils de détection et d’analyse des codes open source.... Alors que la mise en œuvre de bibliothèques logicielles open source dans un projet s’est largement répandue dans la communauté des développeurs d’applications embarquées, cette pratique entraîne en effet une augmentation des vulnérabilités du code produit. De plus, ces bibliothèques libres de droit sont enfouies dans du code existant sans que les développeurs en aient forcément connaissance, et ce alors qu’elles peuvent être soumises à des droits d’utilisation ou de licence particuliers.
Il devient donc primordial pour les équipes de développement d’être capables de cartographier l’ensemble des bibliothèques open source utilisées, et d’en connaitre les vulnérabilités. Sans compter qu'il leur faut fournir le travail indispensable de suivi des mises à jour et des correctifs apportés par la communauté pour ces diverses librairies, et connaître avec précision la qualité de la version utilisée.
C’est ce travail qu’accomplit de manière automatisée la solution WhiteSource. Celle-ci effectue une analyse du code source pour détecter les bibliothèques open source intégrées, et assure un suivi en temps réel de leur qualité en termes de défauts et de vulnérabilités connus. Pour ce faire, la technologie de WhiteSource surveille en permanence les composants logiciels open source à chaque étape du cycle de vie du développement logiciel, et ce même après leur publication.
Une fois intégré sous forme de plug-in dans un projet, le logiciel de WhiteSource fonctionne de manière continue et automatique. Plus précisément, WhiteSource extrait la signature de chaque bibliothèque open source présente dans le code, et la compare à l’ensemble des signatures de celles existantes à travers plusieurs bases de données qui regroupent les références de la majorité des bibliothèques open source utilisées dans le monde (pour 200 langages de programmation, pour l'ensemble des distributions Linux…).