Ключевые моменты из The Forrester Wave™: Software Composition Analysis, Q3 2021
Отчёт оценивает 10 ключевых игроков на рынке SCA по 37 параметрам из трёх групп: текущее предложение, стратегия, доля рынка. У каждого из представленных участников есть enterprise решения по компонентному анализу и минимум $10 млн выручки за эти продукты.
Средний процент использования open source библиотек в коде вырос с 36% в 2015 до 75% в 2020 году, важность мониторинга уязвимостей и соответствия этих библиотек внутрикорпоративным политикам растёт.
Недавний приказ в США обязал всех поставщиков софта государству составлять и сдавать SBOM (Software Bill of Materials) в форматах SPDX или CycloneDx. SBOM — полный список, используемых сторонних компонент с информацией по их лицензиям, авторам и уязвимостям.
Cамые перспективные фичи SCA провайдеров:
находить и анализировать не только open source, но и бинарные, непроприетарные компоненты и элементы инфраструктуры
автоматизировать обновления и фиксы, при этом давать подробную информацию по изменениям и рискам программистам
Лидеры по сумме параметров вполне предсказуемо WhiteSource и Synopsys Black Duck. Первый делает большой упор на помощь разработчикам в исправлении проблем, во втором больше выделяется комплексный подход к анализу безопасности и более точный репортинг потенциальных проблем
Следом идут:
SonaType с целой линейкой дополняющих продуктов и фокусом на комплексное управление политиками вокруг компонентов
Snyk с сильным упором на удобство разработчиков, интеграции и глубину анализа уязвимостей
Veracode со стремлением объединить SCA с функциями SAST (статический анализ на уязвимости)
Из интересных чисел:
несмотря на свою точность Black Duck получил всего 1 из 5 за качество отчётов
WS при этом почему-то получил 1 из 5 за подход к рынку
самые крутые отчёты, похоже, у Snyk, а пользователей больше всего у Sonatype
прибыльность получила всего 3% веса в разделе стратегии, что кажется очень мало, если мы говорим про бизнес.