安全：依賴項可能包含安全漏洞。當依賴項沒有通過更新修復這樣的漏洞時，系統就可能處于風險中； 靈活性：最新依賴項讓組織可以更快地響應變化，因為最近的依賴項版本比舊的依賴項版本更容易更新。新依賴項提供了新功能； 穩定性：依賴項更新經常包含Bug修復以及整個系統穩定性和正確性的改進； 兼容性：系統環境的外部更新可能會導致系統功能異常。

關于這款工具及其開源，InfoQ有幸采訪了Robert。

InfoQ：用戶如何從依賴項更新通知獲益？

VersionEye一直在關注來自不同包管理器的大約100萬個軟件庫，因此，它知道特定庫當前的版本。例如，它可以監控你在GitHub上的package.json文件，并每天通知你過期的依賴項。郵件通知的頻率可以按項目定義，選項包括每天、每周、每月或從不。VersionEye已經支持12種包管理器，比如Maven、NPM、PIP，并且可以識別它們的語法。

InfoQ：有些軟件庫使用了著佐權許可，將它們用于企業環境會更加困難。VersionEye能提供什么幫助？

VersionEye爬取器也一直在收集軟件許可的元信息。目前，我們已經有大約600萬個軟件工件的許可信息，而且數量還在增加。在許可選項卡中，VersionEye會列出項目的所有依賴項及其許可。此外，還有一個表格展示不同許可在項目中的分布。根據需要，還可以創建一個白名單，只將特定的許可加入其中，例如MIT和Apache。如果項目指定了許可白名單，那么VersionEye就會根據許可白名單檢查依賴項使用的所有許可，如果有違反許可的情況，就會發送郵件通知。借助VersionEye的Maven插件，如果存在違反許可的情況，它甚至可以中斷CI服務器上的構建過程。我們的部分企業客戶就是那樣使用VersionEye的。

InfoQ：安全漏洞檢查是如何實現的？

VersionEye一直在5個分別針對Java、PHP、Ruby、Node.JS和Python的安全數據庫中積累安全信息，并且一直在將安全漏洞和包管理器中的相應工件做匹配。通過恰當的設置，例如VersionEye Maven插件、VersionEye Gradle插件或VersionEye SBT插件，如果項目受到安全漏洞的影響，就可以中斷CI服務器上的構建過程。當然，如果覺得漏洞不嚴重，也可以根據項目忽略安全漏洞。

InfoQ：為了有效地使用VersionEye，我需要調整開發過程嗎？

如果你的項目在GitHub或Bitbucket上，那么你就可以使用GitHub或Bitbucket賬戶免費注冊，并簡單地選擇哪些項目文件應該由VersionEye監控。那樣，你就會自動收到針對項目的郵件通知，而不必再做其他任何操作。

如果你想更進一步，則可以將VersionEye集成到構建和測試周期。幾乎所有的主流構建工具都有針對VersionEye的原生插件，它們使用了公共VersionEye API。這些插件會在構建時執行安全和許可合法情況檢查，并在需要時中斷構建過程。對于那些需要確保許多軟件項目和開發人員開發質量的大公司而言，這非常有用。

InfoQ：是什么讓您決定開源VersionEye？

我們開源VersionEye，是因為希望該軟件得到更廣泛的應用，同時也希望得到來自開源社區的貢獻。

迄今為止，我們都是以VMWare鏡像的形式出售VersionEye企業版。鏡像的交付和防護過程非常耗時和令人不快。那雖然可行，但軟件銷售比較困難。企業對透明度和安全心存擔憂，因為他們不知道這個他們要在自己的基礎設施上運行的黑盒子里究竟發生了什么。

現在，我們不必再操心VMWare鏡像的防護和代碼的保密了，我們的客戶也不必再擔心這個黑盒子軟件了。如果一切都開源了，那么整個的分發和維護就變得簡單了許多，大公司也獲得了他們想要的透明度和信任。

InfoQ：你們的商業模型發生了怎樣的變化？

去年，我們出售軟件，現在我們出售VersionEye API的訪問權限、軟件托管和服務支持。任何人都可以從GitHub上免費獲取代碼或者從Docker Hub上獲取Docker鏡像。但是，如果你啟動自己的VersionEye實例，則本地數據庫是空的。你可以通過一種同步機制從VersionEye API更新本地數據庫，而那就是收費的了。或者，你可以運行自己的Java爬取器，但目前為止，沒有人希望維護一整個爬取框架。從VersionEye API獲取數據更簡單也更便宜。