在开源代码的使用上,拿来主义会有风险,开源代码亦能侵权。然而借助恰当的工具,谨慎、合理的使用开源代码,既可以避免开源代码侵权,避开代码安全漏洞等开源管理风险事情的发生,同时也可以节省开发成本,提高开发效率,从而赢得市场竞争。今天就来总结一下FOSSID的使用步骤
说明:FossID提供WebApp,命令行,和REST API共三种访问方式。本文档主要是WebApp页面的快速操作步骤。
1.登陆以后,打开向导
2.根据向导新建项目,输入project code和project name,点击create
注意:project code 以后不可修改,project name可以修改。
3.分配角色,点击Done
4.创建scan,输入scan code和scan name,点击create
5.上传代码,点击browse上传或拖动文件。注意,文件夹请压缩
6.代码上传完成以后,点击done,进入扫描参数设置界面
7.设置扫描参数,点击scan,开始扫描代码
说明:
1:根据客户端已有的确认结果自动确认组件
2:根据声明的内部文件自动确认license
3:根据内部文件自动确认版权条款
4:设置搜索时显示的结果数目
5:设置代码片段扫描时代码行数
8.扫描结束后,点击start identification,跳转到文件展示页面,查看文件扫描结果。
9.如果扫描时间比较长,则在扫描结束后,直接在扫描列表中点击扫描名称,则也可跳转到文件展示页面,查看文件扫描结果。
10. 文件展示页面,说明
说明:
1:根据过滤项显示文件列表
2:所有文件
3:待确认文件
4:已经确认过的文件
5:没有匹配结果的文件
6:显示的匹配到的组件
11. 扫描结果确认
注意:扫描结果确认主要是从扫描匹配的结果中选择所需要的项目。其中,All files列出所有的扫描文件,Pendingidentification 是待确认文件,markedas identified是已经确认的文件,withoutmatches是没有匹配结果的文件。扫描结果确认就是确认Pending identification下的文件。
(1) 一次确认多个文件,选择确认图标,在确认页面选择apply。确认过的文件在“marked as identified”页签中可见。
(2) 一次确认一个文件。从匹配列表中选择合适的组件,点击“use as identification”图标,再点击“mark asidentified”图标,完成确认过程。
12. 生成报告
选择“Generate Report”。在“Generate Report”页面,选择合适的类型,生成报告。建议选择:HTML-Portable Dynamic。