3. Taraf Risk Yönetimi , Uygulama Güvenliği , Yönetişim ve Risk Yönetimi
Mend.io, Açık Kaynak Bağımlılıkları Günlerini Güneşte Alırken Lider Tablosundan Düşüyor
Micheal Novinson (Michael Novinson) •
19 Haziran 2023
Artan bir Sonatype ve Snyk, güçlü Synopsys’e Forrester’ın yazılım kompozisyon analizi sıralamasında zirveye katılırken, Mend.io liderler kategorisinden düştü.
Ayrıca bakınız: İsteğe Bağlı | Google Cloud ile Güvenli Başlayın ve Güvende Kalın
Yazılım bileşimi analizi, tarihsel olarak statik veya dinamik uygulama güvenlik testi kadar ilgi görmedi, ancak Log4j güvenlik açığı ve bir yazılım malzeme listesi gerektiren Beyaz Saray yürütme emri, kuruluşların açık kaynak bağımlılıklarının ve bunların yazılım tedarikinin öneminin farkına varmasını sağladı. zincir, Forrester Kıdemli Analisti Janet Worthington dedi.
Worthington, Information Security Media Group’a “Yazılım bileşimi analizinin kendisi, diğer uygulama güvenlik araçlarının arkasındaki gölgelerden çıktı” dedi. “SCA araçları artık ön plana çıkıyor.”
Worthington, SCA satıcılarının, müşterilere açık kaynak kod kitaplığının en son sürümüne gitmenin ötesinde seçenekler sunan düzeltme önerileri sağlamak için üretken yapay zekadan yararlandığını söyledi. Tedarikçiler, kuruluşların yalnızca kendi açık kaynak bağımlılıkları için bir yazılım ürün listesi oluşturmalarına yardımcı olmaya değil, aynı zamanda üçüncü taraf tedarikçilerden SBOM’ları alma yeteneği oluşturmaya da odaklandı.
Forrester, Snyk’in stratejisini önemli bir farkla en güçlü strateji olarak görüyor. Checkmarx ve Sonatype uzak bir saniye için berabere kalıyor, Veracode dördüncü ve Mend.io beşinci. Forrester’a göre bu, Ağustos 2021’de Synopsys’in altın, Veracode’un gümüş, Revenera’nın bronz, şimdi Mend.io olan WhiteSource’un dördüncü, JFrog’un beşinci ve Snyk’in altıncı sırada yer almasına göre dramatik bir değişiklik.
Worthington, SCA strateji liderlerinin müşterilerin uygulamanın güvenliğini sağlamanın ötesine geçmesine yardımcı olduğunu ve altyapı dosyalarından yazılım tedarik zincirine ve güvenli geliştirme uygulamalarına kadar her konuda yardımcı olduğunu söyledi.
“Yazılım bileşimi analizinin kendisi, uygulama güvenlik araçlarının geri kalanının arkasından gölgelerden çıktı.”
– Janet Worthington, kıdemli analist, Forrester
Mevcut teklif açısından Sonatype, altın için Synopsys’i geride bıraktı. Mend.io bronz kaptı, Snyk dördüncü oldu ve Checkmarx beşinci oldu. Forrester ayrıca Sonatype’ın mevcut teklifini Ağustos 2021’deki en güçlü teklif olarak gördü, ancak en üst yuvanın arkasındaki her şey farklıydı; şimdi Mend.io olan WhiteSource gümüşü, Snyk bronzu ve Synopsys dördüncü sırayı aldı.
Worthington, son iki yıl içinde tüm saf oyun yazılım bileşimi analizi satıcılarının, müşterilere hem özel hem de açık kaynak kodları hakkında daha bütünsel bir anlayış sağlamak için statik uygulama güvenlik testi yetenekleri geliştirdiğini veya satın aldığını söyledi. Ayrıca, statik test firmaları, geliştirici boru hattı araçları ve konteyner güvenlik oyuncularının SCA arenasına inşa ettiklerini veya satın aldıklarını söyledi.
Worthington, “Farklı bir katılımcınız her geldiğinde, geri kalan satıcılar oyunlarını hızlandırıyor,” dedi. “Üretimden insanların gelmesi, yazılım geliştirme yaşam döngüsünün ilk zamanlarına kadar üretimden daha fazla bağlam sağlamak için diğer tüm SCA satıcılarının oyununa yardımcı olacak.”
Liderlerin dışında, Forrester yazılım kompozisyon analizi pazarını şu şekilde görüyor:
- Güçlü Oyuncular: Checkmarx, Mend.io, Veracode, Revenera, JFrog
- Yarışmacı: Palo Alto Ağları
- meydan okuyanlar: GitHub, Aqua Güvenlik, GitLab
SCA Liderleri Zirveye Çıkma Yollarını Nasıl Tırmandı?
| Firma Adı | Kazanma | Miktar | Tarih |
|---|---|---|---|
| Snyk | Enso Güvenlik | Açıklanmamış | Haziran 2023 |
| Snyk | Son Kat Verileri | Açıklanmamış | Mart 2022 |
| Snyk | Foss Kimliği | Açıklanmamış | Mayıs 2021 |
| sonatip | MuseDev | Açıklanmamış | Mart 2021 |
| sonatip | Vor Güvenlik | Açıklanmamış | Haziran 2017 |
| Özet | Kara Ördek Yazılımı | 547 milyon dolar | Aralık 2017 |
| Özet | Codenomicon | Açıklanmamış | Ağustos 2015 |
Sonatype, Açık Kaynak Tehditlerini Anlamak İçin Verilere Odaklanıyor
CEO Wayne Jackson, Sonatype’ın açık kaynak ekosistemindeki kötü amaçlı etkinlikleri tespit etmeye ve engellemeye odaklandığını ve müşterilere açık kaynağın farklı özellikleri ve sürümleriyle ilişkili güvenlik riskleri konusunda tavsiyelerde bulunmak için kendi araştırma işlevini kurduğunu söyledi. Şirket, kamuya açıklamalardan yararlanmaktan gerçekten yararlanılabilir kod oluşturmaya doğru ilerleyen kötü niyetli aktörleri izledi.
Jackson, şirketin geçen yıl içinde 120.000 açık kaynaklı kötü amaçlı yazılım örneği keşfettiğini ve 1 milyon kötü amaçlı yazılım saldırısını ve ayrıca belirli bir sürüme bağlı güvenlik açığı açıklamalarıyla 1.000 parça açık kaynaklı yazılımı durdurduğunu söyledi. Sonatype ayrıca, bir müşterinin ortamına zaten girmiş olan kötü amaçlı yazılım parçalarının herhangi bir hasara yol açmasını önlemede de başarılı oldu, dedi (bkz:: Yazılım Tedarik Zincirinin Savunmasız Durumu).
Jackson, “Kamuya açık veri kaynakları gerçekten çok düzenli değildi ve çok sayıda özel ifşaat eksikti. Özellikle kurumsal ölçekte, on binlerce geliştiriciyle çarptığınızda, kaçırdıkları veya yanlış yaptıkları her şey gerçekten çok önemliydi,” dedi. ISMG’ye söyledi. “Uzun, çok uzun bir süredir en iyi verilere sahibiz ve bu, temel farklılıklarımızdan biri oldu.”
Forrester, Sonatype’ı ekosisteminin karmaşıklığı nedeniyle eleştirdi; burada saf SCA teklifi, veri havuzu güvenlik duvarları ve eski paket eklentilerinin tümü tam değerin kilidini açmak için gerekli. Jackson, şirketin platformunun kuruluş içindeki farklı destekçiler tarafından kolayca tüketilebilir olmasını ve müşterilerin altyapılarında sahip olabilecekleri rakip teknolojilerle uyumlu olmasını istediğini söyledi.
Jackson, “Büyük bir organizasyonun farklı bölümleri, yaptığımız şeyi tüketmek istiyor,” dedi. “Her şey, platformumuzun tüm bu farklı bölümlerinin entegrasyonlarını mümkün olduğunca sorunsuz hale getirmek ve insanlar platformumuzda hareket ederken kullanıcı deneyimini mümkün olduğunca tutarlı hale getirmekle ilgili.”
Snyk, Sorunları Tespit Etmek İçin Açık Kaynak, Konteyner Güvenliğini Birleştiriyor
Baş Ürün Sorumlusu Manoj Nair, Snyk’in, değişikliklerin ölçekte manuel olarak girilmesiyle bağlantılı karmaşıklık göz önüne alındığında, bir değişiklik olduğunda yeni bir SBOM’nin otomatik olarak oluşturulmasını sağlamak için yazılım malzeme listesine API öncelikli bir yaklaşım benimsediğini söyledi. Amazon Web Services gibi şirketlerin, gerçekte savunmasız olanları görebilmesi sayesinde ürünlerinde Snyk’in açık kaynaklı güvenlik istihbaratını kullandığını söyledi.
Nair, yeni bir yazılım parçası devreye alınmadan önce açık kaynak ve konteyner güvenliğini bir araya getirmenin müşterilerin sorunları proaktif olarak düzeltmesine, doğru üçüncü taraf yazılımları kullanmasına ve en kritik güvenlik açıklarına öncelik vermesine olanak sağladığını söyledi. Ayrıca, geliştiricilerin yatırım getirilerini en üst düzeye çıkarmalarına yardımcı olmak için Snyk’in açık kaynak ve yazılım kompozisyon analizi ürünlerine daha fazla entegre olmasını istiyor (bkz.: Snyk, App Security Posture Management Startup Enso’yu Satın Alacak).
Nair, ISMG’ye “Bu liderlik şeridinde ilk geliştirici olan tek şirketiz” dedi. “Geliştiricilere odaklanmamızla ilgili. Diğer tüm araçlarla karşılaştırıldığında geliştirme iş akışlarına entegre olmakla ilgili.”
Forrester, Snyk’i sınırlı lisans yönetimi işlevselliğine ve emsallerine göre daha zayıf algılama yeteneklerine sahip olmakla eleştirdi. Nair, Forrester’ın değerlendirmesini tamamlamasından bu yana Snyk’in şirketin güvenlik istihbarat veritabanındaki verileri gerçek iş akışlarına uygulama becerisini artırdığını ve lisans yönetimi yeteneklerini eski uyumluluk kullanımları yerine ileriye dönük kullanım durumlarına odakladığını söyledi.
Nair, “Müşteriler daha eski uyumluluk odaklı kullanım durumlarından bazılarıyla ilgileniyorsa ve ürünümüze entegre edilen yetenekler yeterli değilse, o zaman FossID’yi bir ortak olarak getiriyoruz” dedi.
Synopsys Arayüzü Basitleştiriyor, Geliştiriciler İçin Otomasyon Ekliyor
Pazar Stratejisi Kıdemli Direktörü Patrick Carey, açık kaynağın son yıllarda ayrı bir yönetişim grubu ve son kullanıcı kuruluşlarındaki faaliyetten DevSecOps modelinin bir parçası olarak geliştirme ekibini geride bırakmaya doğru evrildiğini ve daha basit arabirimlere ihtiyaç yarattığını söyledi. Carey, SCA yükünün çoğu geliştiricilerin üzerine yüklendikçe, deneyimin daha otomatik hale getirilmesi ve kolaylaştırılması gerektiğini söyledi.
Carey, geçtiğimiz 12 ila 18 ay içinde, geliştiricilerin şirketin uzun süredir devam eden Black Duck motorundan yararlanarak kod yazarken SCA’ya erişmelerini sağlayan bir eklenti oluşturduğunu söyledi. Corey, geliştirme altyapısının giderek daha fazla buluta taşınmasıyla birlikte, kuruluşların güvenlik açıklarını olabildiğince erken tespit edip düzeltmek için bulut tabanlı bir platformda hem SCA’ya hem de statik kod analizine ihtiyaç duyduğunu söyledi (bkz.: Synopsys, Uygulama Güvenliği Testi için Gartner MQ’daki Liderliğini Genişletiyor).
“Dünyanın en büyük geliştirme ekiplerine, en büyük kuruluşlarına satış yapıyoruz, bu nedenle müşteri listemiz Fortune 500 ve hatta Fortune 100’de ağırlıklı olarak yer alıyor. Her zaman ekiplerin uygulama geliştirme yaparken kullandıkları çözüm olmaya çalışıyoruz. ve büyük ölçekte SCA,” dedi Corey ISMG’ye. “‘Yeterince iyi’ yeterince iyi olmadığında, Black Duck çözümü öne çıkıyor.”
Forrester, Synopsys’i güvenlik açığı tespiti konusunda daha fazla farklılaşmaya ihtiyaç duyduğu ve DevSecOps kullanım durumlarında profesyonel sürümünü hedeflemediği için eleştirdi. Corey, müşterilerin Synopsys’in profesyonel sürümünü çevik DevOps ardışık düzenlerinde dağıtırken herhangi bir sorun yaşamadıklarını ve pazardaki müşterilerin en çok ihtiyaç duyduğu şeylerle uyumlu olacak şekilde masaüstü, bulut ve şirket içi tekliflerini oluşturmayı planladığını söyledi.
Corey, “Yörüngemize ve yol haritamıza oldukça güveniyoruz” dedi. “Güçlü bir tedarik zinciri ve SBOM yönetimi yetenekleri seti oluşturuyoruz.”