随着核心功能的商品化导致竞争加剧,Sonatype、Snyk 和 Black Duck 仍在 Forrester 的软件成分分析SCA排行榜上名列前茅。
Forrester 高级分析师 Janet Worthington 表示,由于开源漏洞检测和许可证识别等核心功能趋于饱和,以及来自云安全领域的新入局者的加入,市场竞争压力有所增加。这促使现有厂商通过高级功能实现差异化,例如增强修复能力、更广泛的集成以及更好的开发者体验等。
Worthington在接受媒体的采访时表示:"大家都在整体上提高了自己的能力,因为软件供应链安全已经成为关注的重中之重。这不仅体现在美国的大量法规上,欧洲亦是如此,人们对该领域的关注显著增加。”
Worthington表示,漏洞的优先级评估越来越复杂,厂商正在转向评估有漏洞的函数在运行时是否真的被调用。工具整合了生产环境的信息,例如漏洞组件是否暴露在互联网上或加载到内存中,同时自动化功能简化了过时组件或漏洞组件的修复流程。
Worthington 说:“我们看到更多的厂商引入了可达性分析,并尝试增加来自待测代码库/二进制文件以及生产环境中获取到的信息,以辅助漏洞优先级的评估。我指的是‘实际代码是否暴露在互联网上’这类仅靠代码库无法获取到的信息。”
开源项目是现代开发的基石,但Worthington指出,维护不善的软件包会带来风险,包括未修复的漏洞以及可能被恶意行为者劫持的风险。厂商会评估项目活动、维护者数量、更新频率和软件包声誉等因素,以评估其运行风险,从而帮助大家选择可靠的开源组件。
Worthington 说道:“如果你选择了一个维护不善的软件包,那么其在出现漏洞时往往难以得到修复,而且还可能导致该软件包被恶意行为者接管。”
她表示,厂商已经引入了新功能来检测并隔离可疑的包,以防止它们渗透到软件生命周期中。系统会分析异常行为和元数据,标记出隐藏恶意代码的软件包。鉴于软件供应链的日益复杂性和攻击的复杂性,这种能力至关重要,最近发生的 XZ Utils 后门等问题就凸显了这一点。
她说:"恶意软件包攻击数量的增加,以及复杂程度的提高,让企业意识到不能一味寻找已知漏洞,因为恶意软件包背后通常是隐藏的恶意代码。软件供应链正以更多的方式在增加。”
云安全和应用安全厂商进军 SCA 市场
云安全厂商凭借其在生产环境中的专业知识,为 SCA 带来了宝贵的洞察,例如运行时行为和暴露风险。这种协同作用创造了一种从开发到生产的端到端安全方法。应用安全态势管理(ASPM)厂商旨在通过提供全面的应用风险视图来填补空白,她表示,这些厂商进入市场会促使现有厂商提升其能力。
Worthington 说:“与那些不涉足生产环境或云领域的 SCA 厂商相比,他们更有优势。我认为这也为他们提供了 DevSecOps 的宣传口号,让开发人员有机会在进入生产环境之前修复问题。”
Worthington 预计,未来 SCA 将不再是独立的产品,而是成为一项功能,能够无缝集成到应用安全测试平台、云安全平台和开发工具中。通过将 SCA 嵌入日常开发工作流程,企业可以确保更好更高效地使用 SCA,同时在软件生命周期的早期阶段解决安全问题。
Worthington 说:“我认为,未来我们将看到 SCA 和软件供应链功能被更多地融入到许多平台中。例如应用安全测试平台、云安全平台,甚至一些 ASPM 和更多开发工具中。”
Sonatype击败Snyk获得了Forrester的最高战略分,Checkmarx、Black Duck、Veracode和Mend.io分别获得第三、第四、第五和第六。这与 2023 年6月相比发生了巨大变化,当时 Snyk 获得最高分,Checkmarx 和 Sonatype 并列第二,Veracode 第四,Mend.io 第五。
从当前产品评分的角度来看,Sonatype 也是得分最高的公司,Black Duck、Mend.io、Snyk、Checkmarx 和 Veracode 分获第二、第三、第四、第五和第六。Forrester 还认为,在 2023 年 6 月,Sonatype 的当前产品实力最强,Black Duck(当时名为 Synopsys)排名第二,Mend.io 排名第三,Snyk 排名第四,Checkmarx 排名第五。
除领导者外,Forrester 对软件成分分析市场的看法如下:
Strong Performers: Checkmarx, Mend.io, Veracode
Contenders: JFrog, GitHub, Aqua Security, GitLab
Sonatype 利用AI发现供应链中的恶意组件
Sonatype首席产品开发官Mitchell Johnson表示,Sonatype使用专有的AI/ML模型来防范利用AI进行恶意活动的威胁,通过监测60多项指标以简化检测过程。他还表示,软件物料清单(SBOM)作为软件供应链中的一项标准,其重要性与日俱增,Sonatype致力于通过现有的SCA工具实现SBOM的无缝摄取、分析和共享。
Johnson表示,公司在SCA领域的优势在于无与伦比的数据准确性和自动化能力,在安全研究和AI/ML工具方面的投资推动了可靠的自动化,并最大限度地减少了误报和漏报。Sonatype 数据的准确性使得依赖性管理和策略合规的自动化能大规模实施。
Johnson告诉媒体:“理论上,自动化很容易实现,但如果没有精准的基础数据作为支撑,自动化将非常危险。自动化是市场的发展趋势。我们希望 SCA 和依赖管理能够自动进行,也希望选择符合政策的最佳组件,这些都依赖精准的基础数据数据才能做到。”
Forrester 批评 Sonatype 仅提供Java的可达性分析,并将其产品套件作为一个独立的产品来运作,每个产品都需要单独配置。Johnson回复:Sonatype已经努力提高其产品套件的集成度,并将可达性分析扩展到Java之外的语言。他还特别提到了在API和IDE集成方面的投资,以满足开发人员的需求。
Johnson 说:“客户的反馈总是有效的,它驱动我们所做的一切。我们的目标是让软件开发人员的工作更轻松高效。因此,正因为他们给了我们这些反馈,我们认为这些反馈非常有效,我们也在根据这些反馈进行改进,并在我们已经在扩展我们的 API 方面投入了大量资金。”
Snyk采取“开发者优先”的理念实现应用安全
Synk首席创新官 Manoj Nair 表示,Snyk 专注于提供能无缝集成到开发人员工作流中的工具,帮助开发人员主动解决漏洞,同时避免被不必要的告警所淹没。Snyk 希望通过自动化和上下文应用洞察来减少开发人员的认知负担,并关注可达性和可利用性,从而有效地确定风险的优先级。
Nair表示,Snyk扩大了语言覆盖范围,并集成了Helios等基于上下文的工具,通过结合多种数据源来增强风险优先级排序能力。他称,Snyk 专注于将安全直接集成到开发人员的工作流程中,这是一个关键的差异化优势,它可以帮助开发人员在 GitHub 等本地环境中解决安全问题,而不会降低工作效率。
他告诉媒体:“我们的理念是,这不仅仅是一个供安全团队用于事后测试的工具。它需要融入开发环境中,为他们提供上下文、自动化和学习,然后主动解决问题。这就是为什么我们取代了很多已经长期使用的竞品的位置——安全团队通常已经非常忙碌。”
Forrester 批评Snyk 缺乏强大的许可审批工作流程,后台和UI之间的用户体验参差不齐,私有软件包的修复仅能达到标准,以及无法摄取和监控 SBOM 组件。Nair回复道,虽然改进这些方面仍是当务之急,但Snyk 更专注于其核心使命,同时利用合作伙伴关系实现更广泛的企业工作流程。
Nair 说:“我们认为,复制 GRC 和采购工作流程不应该成为独立工具的核心重点,这些是企业记录系统(如 ServiceNow)的重点,这类系统本身拥有强大的工作流程功能。这些都是战略性选择。”
Black Duck 将 SCA 和 SBOM 管理放在一起
Black Duck软件供应链风险战略主管Tim Mackey表示,Black Duck 通过改进导入/导出功能、确保符合监管框架、深度整合 SCA 和 SBOM 管理而非将其视为两个独立地工具,努力使 SBOM 变得实用可靠。公司已在可用性、监管合规性和AI驱动功能方面进行了投入。
Mackey说,AI工具增强了Black Duck处理大量数据的能力,并提高了漏洞建议的准确性,同时将代码片段分析扩展到AI驱动的开发,确保AI建议的代码片段符合政策和许可要求。Black Duck 广泛的监管能力和企业支持使其有别于专注于 Java 或开发者工具的竞争对手。
Mackey 告诉媒体:“我们投入了大量精力提高 SBOM 的使用。比如,我们能够导入 SBOM,以模板导出SBOM,并使用模板来表示"这对于 FDA 用例/网络弹性用例/其他监管或合同要求来说是符合标准的"。这是我们重点关注的一个领域。”
Forrester批评Black Duck的产品路线图没有差异化、用户界面过时、报告和分析方面的用户体验差,而且难以及时为客户交付新功能。Mackey 表示,Black Duck 的用户界面并没有显著改进,辩护称其重点是 API 报告,并表示季度发布节奏有助于确保全面的功能交付。
Mackey 说:"我在 2016 年体验过的用户界面,与今天看到的用户界面看起来并无太大区别。但实际情况是,对于我们的用户来说,他们一般不会在我们的用户界面上花很多时间。他们要做的是利用API获取我们提供的信息,在 Tableau、Power BI 或任何他们喜欢的报告工具中生成报告,然后向 CISO 和 CIO 汇报。"
原文链接:
https://www.inforisktoday.com/sonatype-snyk-black-duck-top-comp-analysis-forrester-wave-a-26930
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。