新思科技在Forrester Wave 2023年軟件組成分析報告中被評為領(lǐng)導(dǎo)者

軟件風險等同于業(yè)務(wù)風險。因此，開源戰(zhàn)略已經(jīng)成為企業(yè)業(yè)務(wù)戰(zhàn)略的一部分。如果沒有有效的方法來跟蹤和管理開源組件，企業(yè)將面臨使用開源所帶來的安全、許可證合規(guī)性和代碼質(zhì)量風險。新思科技的軟件組成分析解決方案可以幫助企業(yè)在應(yīng)用和容器中預(yù)防并管理開源風險。

近日，新思科技(Synopsys, Inc.，Nasdaq: SNPS)宣布其在Forrester WaveTM發(fā)布的《2023年第二季度軟件組成分析》報告中被評為領(lǐng)導(dǎo)者。報告分析了12家在軟件組成分析(SCA)市場極具影響力的供應(yīng)商，并且根據(jù)三個高級類別中的32條標準對他們進行評估：現(xiàn)有產(chǎn)品、策略和市場占有率。在10家供應(yīng)商中，新思科技Black Duck?軟件組成分析解決方案在“市場占有率”類別中獲得最高分，并且在“現(xiàn)有產(chǎn)品”類別中名列第二。

報告指出：“高達 78% 的代碼庫是開源的，這導(dǎo)致應(yīng)用的大部分代碼因第三方來源而面臨風險。應(yīng)用安全和應(yīng)用開發(fā)領(lǐng)導(dǎo)者依靠軟件組成分析工具來提供對開源和第三方庫的安全性和許可風險的可見性。 不同SCA 供應(yīng)商的主要差異在于能否有效地發(fā)現(xiàn)安全和許可風險并采取及時的補救措施，以及是否有軟件供應(yīng)鏈管理用例。這是政府和行業(yè)最近關(guān)注的焦點。”

在“現(xiàn)有產(chǎn)品”類別中，新思科技在軟件物料清單(SBOM)管理和政策管理標準中獲得最高分，并在漏洞識別標準中并列第二。在“策略”類別中，新思科技在支持服務(wù)和產(chǎn)品標準中獲得了最高分。

報告指出：“Black Duck 軟件組成分析強大的政策引擎擁有 40 多項標準，包括安全風險，例如可利用性、修復(fù)可用性和可達性；許可風險，例如需求審查；組件屬性，例如直接或傳遞依賴項；以及操作風險，例如過去一年的提交和貢獻者數(shù)量以及組件年齡。該政策在 IDE、拉取請求和管道掃描中統(tǒng)一執(zhí)行。”

新思科技軟件質(zhì)量與安全部門總經(jīng)理Jason Schmitt表示：“我們很榮幸被Forrester評為軟件組成分析領(lǐng)導(dǎo)者。識別和管理開源軟件組件和更廣泛的軟件供應(yīng)鏈中的風

險是構(gòu)建可信軟件的關(guān)鍵部分。Black Duck SCA是最早涉及該領(lǐng)域的產(chǎn)品之一，具有獨特的優(yōu)勢。在過去二十年，Black Duck團隊不斷開發(fā)和增強高度差異化的技術(shù)和開源數(shù)據(jù)庫，幫助不同行業(yè)的企業(yè)和機構(gòu)保護其軟件供應(yīng)鏈。”