软件风险等同于业务风险。因此,开源战略已经成为企业业务战略的一部分。如果没有有效的方法来跟踪和管理开源组件,企业将面临使用开源所带来的安全、许可证合规性和代码质量风险。新思科技的软件组成分析解决方案可以帮助企业在应用和容器中预防并管理开源风险。
近日,新思科技(Synopsys, Inc.,Nasdaq: SNPS)宣布其在Forrester WaveTM发布的《2023年第二季度软件组成分析》报告中被评为领导者。报告分析了12家在软件组成分析(SCA)市场极具影响力的供应商,并且根据三个高级类别中的32条标准对他们进行评估:现有产品、策略和市场占有率。在10家供应商中,新思科技Black Duck®软件组成分析解决方案在“市场占有率”类别中获得最高分,并且在“现有产品”类别中名列第二。
报告指出:“高达 78% 的代码库是开源的,这导致应用的大部分代码因第三方来源而面临风险。应用安全和应用开发领导者依靠软件组成分析工具来提供对开源和第三方库的安全性和许可风险的可见性。 不同SCA 供应商的主要差异在于能否有效地发现安全和许可风险并采取及时的补救措施,以及是否有软件供应链管理用例。这是政府和行业最近关注的焦点。”
在“现有产品”类别中,新思科技在软件物料清单(SBOM)管理和政策管理标准中获得最高分,并在漏洞识别标准中并列第二。在“策略”类别中,新思科技在支持服务和产品标准中获得了最高分。
报告指出:“Black Duck 软件组成分析强大的政策引擎拥有 40 多项标准,包括安全风险,例如可利用性、修复可用性和可达性;许可风险,例如需求审查;组件属性,例如直接或传递依赖项;以及操作风险,例如过去一年的提交和贡献者数量以及组件年龄。该政策在 IDE、拉取请求和管道扫描中统一执行。”
新思科技软件质量与安全部门总经理Jason Schmitt表示:“我们很荣幸被Forrester评为软件组成分析领导者。识别和管理开源软件组件和更广泛的软件供应链中的风
险是构建可信软件的关键部分。Black Duck SCA是最早涉及该领域的产品之一,具有独特的优势。在过去二十年,Black Duck团队不断开发和增强高度差异化的技术和开源数据库,帮助不同行业的企业和机构保护其软件供应链。”