Todos os desenvolvedores desejam criar software seguro e confiável. Eles devem se orgulhar de lançar seu código com a total confiança de que não introduziram nenhuma fraqueza ou antipadrões em suas aplicações. Infelizmente, os desenvolvedores não estão escrevendo seu próprio código na maioria das vezes nos dias de hoje. 96% de todo o software contém alguns componentes de código aberto, e os componentes de código aberto compõem entre 70% e 90% de qualquer software moderno. Infelizmente para nossos desenvolvedores preocupados com a segurança, a maioria das vulnerabilidades modernas vêm desses componentes de software.

À medida que novas vulnerabilidades surgem e são publicamente reportadas como Vulnerabilidades e Exposições Comuns (CVEs), as equipes de segurança têm pouca escolha a não ser pedir ao desenvolvedor que refatore o código para incluir diferentes versões das dependências. Ninguém fica feliz nessa situação, pois bloqueia novos recursos e pode ser frustrante reverter versões de componentes e esperar que nada quebre. Os desenvolvedores precisam de uma maneira de determinar rapidamente se um componente que desejam usar possui uma vulnerabilidade conhecida antes de fazer uma solicitação de pull.

Felizmente para os desenvolvedores e equipes de segurança, agora é mais fácil e rápido do que nunca fazer a varredura de CVEs localmente, automaticamente e antes que quaisquer commits sejam feitos.