WhiteSource Bolt é um componente eficiente para execução de scan e verificação de vulnerabilidades na sua aplicação. A extensão do VSTS pode ser baixada no Marketplace do Visual Studio – WhiteSource Bolt.

Após a instalação do componente, podemos incluir no processo de Integração Contínua do VSTS, adicionando a extensão nas definições do Build. A tela abaixo demonstra a configuração da extensão, referenciando o diretório raiz.

vsts-build-definition

Entre os principais benefícios de utilizar do WhiteSource Bolt:

  •  Integração c/ Visual Studio Team Services (VSTS) ou Team Foundation Server (TFS)
  • Detecta todos os componentes open source da sua aplicação
  • Provém alertas em vulnerabilidades e componentes desatualizados
  • Relaciona dados obtidos com políticas pré-definidas da empresa
  • Geração de relatórios com os principais issues identificados

Após a execução do Build, podemos visualizar o relatório na aba do WhiteSource Bolt, relacionando todas as vulnerabilidades encontradas na aplicação, classificadas em Low | Med | High. Veja que há uma descrição detalhada dos componentes identificados e a sugestão de como tratar a vulnerabilidade (coluna Top Fix).

vsts-whitesource-bold