Forrester Wave 软件成分分析 2019，Q2

为什么读这个报告

       根据我们软件成分分析产品33个评估标准，挑选出来10个表现最优秀的厂商，Flexera，FOSSA，GitLab，JFrog，Synk，Sonatype，Synopsys，Veracode，WhiteHat Security，WhiteSource，进行研究、分析和打分。这个报告介绍了每个产品是如何测试的，帮助安全专家根据他们的需求，选择合适自己的产品。

关键要点

• WhiteSource 和Synopsys是领导者

Forrester的揭示了一个市场，在这个市场中，WhiteSource和Synopsys是领先者。Synk和Sonatype是卓越表现者，Whitehat Security，Flexera，Veracode是竞争者，GitLab，FOSSA，JFrog，是挑战者。

• 修复、策略管理、报告是关键的差异点

随着开发人员持续使用开源代码加速新应用功能的发布。修复，策略管理，报告功能这三个功能决定哪个厂商是领导者。能够给开发人员提供修复建议，甚至生成补丁应对问题，显著减少业务风险的厂商才是不二之选。

软件成分分析对安全的现代化应用开发至关重要

开发人员面对着的挑战是创造出差异化的、定制化的产品，快速吸引客户体验。因此，他们不再自己编写所有的代码去解决每个问题。相反，他们组装、配置、自动化他们的代码，常常依赖通用的开源组件快速的增加应用程序功能。一个近来的研究表明，根据被评估的代码库，开源软件平均数量以21%逐年增加。然而，这些同样关键的开源组件也持续对业务产生威胁。最近的研究显示，下载组件的八分之一包含已知的漏洞。更加严重的是，安全专家几乎没有时间去修复任何新发现的漏洞，同一份报告里也说明，漏洞从被发现到被利用间隔的时间从过去的45天缩短为三天。

     面对这些趋势，软件成分分析的客户在寻找能够提供下列功能的厂商：

• 建议开发人员如何修复漏洞。

为显著减少漏洞和风险许可带来的漏洞，开发人员需要在软件开发生命周期（SDLC）的早期，就对安全或有风险的软件许可提出报警，以及如何修复。SCA产品不仅需要生成好的修复建议，而且有些厂家推出代码修复动作—客户可参考一个安全的开源组件版本，或没有安全版本时，生成补丁。

• 跨不同的业务单元和应用类型，生成持续策略。

为提高发布速度，安全专家正从手动的SCA测试人员向持续的策略生成者进化。在这个新角色，他们生成了整个公司范围内必须遵守的策略（例如没有已知、重要、严重的漏洞被发布到产品中），对更关键的客户应用提高标准，为达到目的，安全专家需要SCA工具提供灵活的策略管理能力。

• 为安全专家和首席安全官们提供战略风险的报告。

当应用修复时间过长和表露出过高的风险时，首席安全官们必须移除障碍。在过去，安全专家们把漏洞和风险许可数据信息杂乱的放在一起，甚至忽视他们。今天，安全专家们需要现成可用的报告模板，包括当前对业务有风险的应用，开发人员需要的修复时间，提交给首席安全官和开发团队。

评测总结

        Forrester Wave 评测了突出的领导者，卓越表现者，竞争者和挑战者。市场上头部厂商的评估，并不能代表整个业界状况。在本次报告中，您会发现市场上的更多信息。

    我们希望这次评测只是一个起点，鼓励客户使用基于excel的厂商比较工具，利用标准权重的方法来查看产品评测结果。可到主页上下载工具。

       

 

厂商提供的产品

 

 

 

厂商资料

我们的分析，揭示了每个厂商的优点和不足。

领导者

• WhiteSource 通过优先级排序，减少了修复时间

WhiteSource 最近引入了漏洞优先级排序的能力，通过静态扫描，判断一个组件的漏洞是否直接被应用调用，如果不是，漏洞优先级较低。另一个新近发布的特性是自动化修复漏洞，通过拉取升级的版本，来符合公司的策略。

客户称赞WhiteSource对大量语言的支持和技术支持。而且也注意到，产品在传递性依赖视觉化方面做的更好。WhiteSource几乎没有弱点，但软件组成清单功能是个短板，为保持优势，WhiteSource需要提供现成可用的功能，对当前的和历史上的软件组成清单做出比较。WhiteSource最适合在SDLC最早期就需要扫描，正在寻找漏洞优先级排序和自动化修复的公司。

• 新思收购黑鸭，具有二进制扫描和报告功能

新思已经把以前的所有SCA功能，融入到黑鸭产品中。然而，对更复杂的软件授权许可合规实践，客户必须也使用黑鸭Protex和黑鸭。例如，您能够分析在声明许可和检测许可之间的区别，但您必须使用两种不同的工具来实现。新思有其他的功能实现交互式和静态的扫描，最近也发布了它的北极星平台，目标是结合所有以前发布的扫描工具数据。

客户认可新思的扫描，速度快，结果可靠，有详细的修复建议，但误报率看起来高。新思有非常强的策略管理和SDLC集成、强大的主动漏洞管理、包括一个软件组成清单对比功能，突出显示随着时间更改的部分。然而，新思的短板是自动修复功能比其他头部厂商弱。新思最适合有应用开发团第，明确的集成到SDLC中的需求，对不同类型的应用需要不同的策略的公司。

卓越表现者

• Snyk关注开发人员使用场景，更新版本和提供补丁

Snyk的目标是赋能开发者修补漏洞，不仅可以从代码库更新补丁，更可以当组件新版本不可得时，提供定制补丁。Snyk还可以给开发者提供一个调用图谱，显示传递性依赖和直接依赖包括的相关漏洞。帮助开发人员理解为什么需要某些补丁。

客户对Snyk以开发者的应用场景为重心的功能很激动，包括和SDLC的轻松集成，更新补丁不可得的情况下，生成定制补丁的自动修复，依赖关系的视觉化展示等。然而，为完成开发者的体验，客户希望snyk对开源知识的搜索能够提供更多的资源，甚至不止安全信息—而是关于一个组件的所有信息，判断哪个版本最适合。Snyk对于开发者的需求关注的过多，缺忽视了对安全专家的需求。Snyk需要加快现成可用的审计和风险报告功能，利用自动修复漏洞的功能，吸引不情愿的开发者的公司，Synk最适合不过。

• Sonatype基于Nexus平台持续构建新功能，提升价值 

Sonatype 扫描其自带的Nexus软件仓库，训练常用漏洞识别能力。研究团队改善了和漏洞识别相关的数据，在配置更改、组件升级细节、代码变更要求等方面，提供修复步骤和建议。Nexus平台对不同的功能有不同的软件授权，DepShield，IQ Server，Nexus Auditor，Nexus Firewall，Nexus Lifecycle，Nexus Repository，Nexus Vulnerability Scanner，客户需要正确的组合他们，以最大化收益。

客户注意到Sonatype低误报率，和Nexus 软件仓库的集成，给力的客户支持等优点。但客户也强调Sonatype需要更好的追踪传递性依赖，扫描数据兼容性差。此外，Sonatype相信它的产品结构透明，客户容易使用和理解，事实不是如此。报价和软件许可使从大量的产品中选择合适的方案比较困难。对已经购买Nexus的客户和要求低误报率的客户，Sonatype是一个有吸引力的选择。

竞争者

• Whitehat Security SCA利用无人工介入来提高速度

Whitehat Security 在把结果发回给客户之前，会先让安全团队检查扫描结果，以减少误报率，深受客户认可。现在，Whitehat 除了提供Whitehat Sentinel Standard，安全团队提供验证方案之外，还能够提供一个全自动化的方案，Sentinel SCA Essentials。

因为Sentinel SCA Essentials很新，客户感到SCA功能不是很稳定。客户证实基于角色的访问不完整，很难判断是否传递性依赖是易受攻击的，但漏洞细节获得称赞。我们希望厂商在提供SCA、SAST、IDE环境中DAST扫描、构建、SDLC生产阶段功能时，逐渐完善这些功能。如果开发人员成熟，要求加快速度，只依赖工具的反馈；或者希望通过人工检查漏洞获得额外的帮助，这样的客户都很适合Whitehat Security的产品。

• Flexera 基于安全研究带来的差异化

Flexera的安全团队，叫作Secunia，主要做漏洞研究，在漏洞还没有被国家漏洞库（NVD）接受之前，给客户提供早期报警。以精确性和反应时间来衡量团队的成功，他们对NVD的提交都获得认可，并得到了公开发布。在Flexera的FlexNet Code Insight中可以看见Secunia发现的漏洞，并被标识为Secunia发现。

虽然Flexera客户证实了其产品灵活的UI、有用的工作流、许可分析能力质量。但也反映了文档和培训不足，API功能有限。安全专家和开发者使用Flexera交付最常用的SCA用户案例，不需要如自动修复和无服务器扫描等高级功能。

• Veracode 两个产品提供脱节的用户体验

2018年，Veracode收购了SourceClear，加强它自己的软件成分分析方案。SourceClear软件成分分析产品，是一个基于主机代理软件的扫描工具，而Veracode 软件成分分析工具是SaaS形式。为实现SCA，当使用SaaS模式的时候，客户必须做一个静态扫描分析，但使用主机代理软件工具的时候，则不需要。客户会发现两个产品的两个功能之间脱节，因为每个产品都只能实现特定的功能，希望在将来能得到统一。Veracode也提供静态和动态的发布前扫描，作为其SCA产品的补充。

直到Veracode统一SourceClear和自己的软件成分分析产品之前，客户都会感觉非常尴尬。不确定的软件许可、延迟的功能、不稳定的API支持。然而，随着功能整合的进行，我们希望Veracode能更努力的抹平当前产品的区别，特别是连续语言支持，统一策略引擎。如果一个公司试图控制供应商的数量，Veracode非常适合。如果有一天SCA数据能够加强其他扫描数据的结果输出当前的客户很欣慰的看到，它会变成真正的应用安全平台。

挑战者

• GitLab 起步很快，但安全专家发现开发者困难重重

GitLab自从2017年开始提供安全产品，现在已有静态和动态分析，二进制SCA。然而，一些开发者使用SCA功能的用户场景，对于安全专家来说，就不是很理想了。例如，抛弃功能，赋能开发者不去考虑任何严重性的漏洞。这迫使安全专家仔细追踪开发者所忽视的漏洞，GitLab的方案不是通过质量门停止构建，相反，它推荐使用检查者功能，让安全专家手动检查每次构建的状态。

GitLab 在短时间内激进的打造了安全功能，对其他功能也有一个激进的产品路线图。然而，很多功能还在早期甚至计划阶段。客户对语言支持的缺乏，不完善的漏洞发现和基本策略管理功能都重点做了反映，并给与了温和的评级。当你的大部分开发团队使用GitLab，或生成一个内部GitLab开源代码库的时候，可以考虑使用GitLab。

• FOSSA 借助开源和专属授权许可识别来改善产品

FOSSA Compliance 能够自动检测原始版权头，区分出私有的、第三方、有版权的外部代码。在检测专有技术的帮助下，FOSSA宣称正在和一些法律顾问合作，他们在早期就参与了一些开源项目的许可授权。FOSSA的分析层是开源的，任何人都可以增强产品的功能，增加对新语言和框架的支持。

客户喜欢在软件构建时，用FOSSA做漏洞评估，并认可评估结果。因此，即使软件授权许可扫描结果不完整，漏洞扫描可以被信赖。一些FOSSA客户公开发布扫描结果和FOSSA源代码，因为FOSSA本身是开源的，最好把他认为是一个工具集，客户证实缺少产品文档和高级功能，如扫描容器。此外，对开源产品来讲，一个详细的，长期的产品路线图很难实现，FOSSA无法预料什么时候外部的贡献者会创造出新的功能。如果客户有倾向和能力去定制一个SCA产品，符合公司的特定要求，可以考虑FOSSA。

• JFrog被限制扫描自己代码库中的二进制代码

使用JFrog XRay ，您可以细粒度定义所扫描二进制代码的内容，把策略对应到你要扫描的内容上。策略可以被应用到所有的二进制代码，构建存储在JFrog内、甚至横跨多个打开索引功能的JFrog代码库。

客户给JFrog温和的评级，指出功能可以更灵活和简单，报告特别有限制。然而，客户也提到不仅和JFrog Artifactory集成和成功实施很重要，而且JFrog已经快速开发新的功能，修复了已经发现的问题。当广泛的或者主要使用JFrog Artifactory，或自动化修复是必选项时，可以考虑JFrog。

 

测评概述

我们根据33个标准来评测产品，概括成了三组：

• 当前提供的产品功能

厂商在图中垂直轴的位置，显示了其当前提供产品的优势。关键评估标准包括许可风险管理、漏洞识别行为、主动漏洞管理、策略管理、SDLC集成、容器和无服务器扫描、开箱可用的策略报告。

• 战略

水平轴上的位置，显示了厂家战略优势。我们评估产品战略、市场方法、执行路线图、培训。

• 市场表现

图中尺寸的大小表明市场规模，我们的市场标准排名，反映了每个厂商的安装基数，增长率，公司盈利能力。

厂商入围标准

Forrester包括了10个厂商，每个厂商都需要：

• 提供综合性的，企业级的SCA工具

在本次评测中的所有厂商，提供一系列的适合安全专家的SCA功能。参加的厂商被要求能够开箱可用其大多数功能：针对开源许可风险和漏洞的修复建议；自动集成到SDLC的工具；主动漏洞管理能力；策略生成和编辑，开源软件风险视觉化报告。

• SCA产品具有1000万美元以上的收入

测评的所有厂商直接从SCA产品的收入，至少超过1000万美元。

• Forrester 客户对厂商有兴趣或关注

在问询和采访中，Forrester的客户常常讨论参与的厂商和产品，当然，根据Forrester的判断，参与的厂商，因为自身的技术能力和市场表现，也会保证入围。

原文始发于微信公众号（安全行者老霍）：Forrester Wave 软件成分分析 2019，Q2