工具旨在通過添加欠缺的功能來改進GitHub本身,例如支持檢查開發者原產地證書(DCO)語句,以確保代碼可以被合法授權且應用于開源項目中。
GitHub 在代碼審查方面也存在一些不足之處,所以有其他可用的工具可以自動將有問題的代碼發回給創建它的貢獻者,然后要求他們檢查并做出必要的修改。GitHub 沒有辦法強迫任何人檢查他們的代碼,而這些聰明的工具解決了這一問題,使工作流程得以改善。
其他 GitHub 特定工具的功能用于提高 GitHub 的性能指標,這些功能通常針對特定項目,而不是提供給整個組織詳細信息。對于在多個 GitHub 項目中維護許多開源代碼庫的公司而言,需要更好的工具來組織和匯總它們,使之有意義。亞馬遜、Netflix 和微軟提供了大量這樣的工具來幫助完成這些任務。
以下是一些最流行和實用的源代碼管理工具,可以簡化并幫助您的 GitHub 運作:
源代碼掃描和許可證合規性
? Antepedia Reporter[9] —— Reporter 是 Antepedia 的一款商業收費應用程序,用于生成報告,可以讓開發人員、項目經理、法律顧問和其他人員創建關于您代碼庫中的開放源代碼與公共和私有組件的許可證合規性審計和知識產權管理報告。
? Black Duck Hub[10] – 這一商業 Hub 服務,可以掃描代碼以識別所有嵌入式開源組件,然后自動搜索已知漏洞并進行修復。在您的代碼中發現新的漏洞時它可以發送警報。
? Black Duck Protex[11] – Protex 是來自 Black Duck 的一款商業收費的許可證合規性管理工具,它整合了現有工具以自動掃描、識別和清點開源軟件,同時執行許可證合規性和公司政策的要求。
? Copyright review tools[12] - 這一系列命令行工具有助于使初始版權文件的構建與之后的審查和更新更便捷。
? dep-checker[13] – Linux 基金會的一款依賴性檢查工具,dep-checker 執行針對代碼包間的鏈接的完整分析。
? FlexNet Code Insight[14] –Flexera 于 2016 年收購了許可證合規性供應商 Palamida,提供了 FlexNet Code Insight,以幫助開發人員、法律團隊和安全人員自動化企業開源應用。
? FOSSA[15] – 這是一款商業工具,可自動執行代碼依賴性跟蹤和后臺許可證合規性掃描。
? FOSSology[16] - 作為 Linux 基金會的一個項目,FOSSology 是一個開源許可證合規性軟件工具包,它可以從命令行運行許可證、版權并導出控制掃描。它還包含了一個數據庫和 Web UI,這些也都可用于創建合規工作流程。
? janitor.git[17] – Code Janitor 是一款開源工具,可幫助評估源代碼是否符合開源許可證。Code Janitor 來自于 Linux 基金會,可以與其他產品一同使用以檢查代碼。
? LicenseFinder[18] – 檢測您項目中所使用代碼的許可證,將這些許可證與用戶定義的白名單進行比較,然后提供可操作的報告。
? Protecode Enterprise Analyzer[19] – 這款商業應用程序用于分析和識別任何目錄中的所有代碼, 以確定代碼的所有權并根據預先確定的內部政策確保開源許可證合規性。
? scancode-toolkit[20] – 來自于 nexB 的 ScanCode 工具套件掃描代碼的許可證、版權和依賴性,以查找、發現和清點您代碼中所使用的開放源代碼和第三方組件。
? SPDX[21] - SPDX 規范是用于描述與軟件包相關的組件、許可證和版權的標準格式。SPDX 標準通過標準化開發人員和公司之間共享許可證信息的方式,幫助遵守免費和開源的軟件許可證。SPDX 規范由 Linux 基金會主辦的 SPDX 工作組所開發的。該工作組提供開源工具[21]來幫助 SPDX 文檔的用戶。
? WhiteSource[22] – 通過自動且持續地掃描數十個開放源代碼庫,為實時管理開源組件提供授權、安全性、代碼質量和報告分析。
錯誤跟蹤
? Bugzilla[23] – 一款基于服務器的軟件,是具有搜索記憶功能的高級查詢工具,且具備集成電子郵件功能,同時也是全面的權限系統。Mozilla[24] 使用 Bugzilla 作為其錯誤跟蹤系統。
? GitHub Issues[25] – 作為GitHub自身的整合反饋和錯誤跟蹤器,GitHub Issue 可作為 GitHub 項目托管的一部分提供給用戶。
? GitLab[26] – 這款錯誤跟蹤工具在單個用戶界面中統一了問題跟蹤、代碼審查、Git 存儲庫管理、活動流、wikis 和其他許多內容,以協助您的開源項目。
? JIRA[27] – 來自于 Atlassian 的 JIRA 包含自定義過濾器、開發人員工具整合、可定制的工作流程和豐富的 API,以將 JIRA 與其他應用程序整合在一起。
歸檔和發布管理
? Artifactory[28] – 同樣來自 JFrog 的 Artifactory 是一款存儲庫管理器,它支持以任何代碼語言創建的軟件包。它整合了所有主要的 DevOps、持續集成與持續交付工具。
? Bintray[29] – 一款來自于 JFrog 的歸檔工具,允許公司發布他們的代碼發布檔案以維護更久遠和更龐大文件的存儲。
? Docker Hub[30] – 一款基于云的注冊表服務,允許用戶連接到代碼庫并構建和測試他們的圖像。它還存儲手動推送的圖像和鏈接到Docker Cloud[31],以便用戶可以將圖像部署到項目主機。Docker Hub 是一款集中式資源,用于整個開發流程中的容器映像發現、分發和變更管理、協作與工作流程自動化。
? github-release[32] – GitHub 的內置功能部分,它允許用戶打包并編輯[33] GitHub 項目的發布,以便其他社區成員可以使用它們。
用于跟蹤項目質量的工具
隨著開源項目的發展和成熟,監控和跟蹤開源項目的整體質量是企業開源項目的核心任務。為了實現這一目標,您必須收集相應的工具,這些工具應當能夠反映單獨的開源項目的執行過程并反映單獨的開源項目在數十、數百甚至數千個項目中被它們的社區接收的過程。同時,這些工具還必須兼具轉化能力, 能夠將收集的數據轉化為體現整個開源組合中整體項目性能的有意義的、實用的且可操作的信息。
Amazon's open source program dashboard
這其中的關鍵是,您收集到的數據應當可以轉化為關鍵且有用的信息 – 而不是些無用的指標,例如詳細說明項目已記錄了多少“觀察者”明星,自項目開始以來有多少貢獻者參與了該項目,亦或是缺乏重要背景資料的其他指標。
最好的項目質量監測工具還必須幫助項目團隊對支持他們工作的社區做出回應,同時鼓勵貢獻開發者的參與
