Блог CodeScoring

Ключевые моменты из The Forrester Wave™: Software Composition Analysis, Q3 2021

Отчёт оценивает 10 ключевых игроков на рынке SCA по 37 параметрам из трёх групп: текущее предложение, стратегия, доля рынка. У каждого из представленных участников есть enterprise решения по компонентному анализу и минимум $10 млн выручки за эти продукты.

Средний процент использования open source библиотек в коде вырос с 36% в 2015 до 75% в 2020 году, важность мониторинга уязвимостей и соответствия этих библиотек внутрикорпоративным политикам растёт.

Недавний приказ в США обязал всех поставщиков софта государству составлять и сдавать SBOM (Software Bill of Materials) в форматах SPDX или CycloneDx. SBOM — полный список, используемых сторонних компонент с информацией по их лицензиям, авторам и уязвимостям.

Cамые перспективные фичи SCA провайдеров: 
  • находить и анализировать не только open source, но и бинарные, непроприетарные компоненты и элементы инфраструктуры
  • автоматизировать обновления и фиксы, при этом давать подробную информацию по изменениям и рискам программистам

Лидеры по сумме параметров вполне предсказуемо WhiteSource и Synopsys Black Duck. Первый делает большой упор на помощь разработчикам в исправлении проблем, во втором больше выделяется комплексный подход к анализу безопасности и более точный репортинг потенциальных проблем

Следом идут:
  • SonaType с целой линейкой дополняющих продуктов и фокусом на комплексное управление политиками вокруг компонентов
  • Snyk с сильным упором на удобство разработчиков, интеграции и глубину анализа уязвимостей
  • Veracode со стремлением объединить SCA с функциями SAST (статический анализ на уязвимости)

Из интересных чисел:
  • несмотря на свою точность Black Duck получил всего 1 из 5 за качество отчётов
  • WS при этом почему-то получил 1 из 5 за подход к рынку
  • самые крутые отчёты, похоже, у Snyk, а пользователей больше всего у Sonatype
  • прибыльность получила всего 3% веса в разделе стратегии, что кажется очень мало, если мы говорим про бизнес.


2021-11-22 13:21