掌握代码库中包含哪些开源软件是保证开源软件安全的第一步。可见性意味着不仅要知道正在使用哪些开源库,而且还要知道他们的使用地点和方式。Black Duck(黑鸭,已被新思科技收购)采用了多因素方法来发现开源代码,以获得最完整的物料清单(BoM)。
美国新思科技公司(Synopsys, Nasdaq: SNPS)近日宣布其在权威独立调研公司Forrester Wave™发布的《2019年第二季度软件组成分析报告》中被评为领导者。该报告分析了10家在软件组成分析解决方案(SCA)领域最具影响力的供应商,并且根据33项标准对其进行了评估。这些标准分为三大高级别的类别:现有产品、策略以及市场份额。新思科技黑鸭软件组成分析解决方案在软件开发生命周期(SDLC)集成、策略管理和培训标准类别中荣获最高分,在市场份额类别中获得最高排名。在报告中,Forrester指出“黑鸭解决方案具有非常强大的策略管理和SDLC集成功能,并且具有可靠的主动漏洞管理功能。”
新思科技软件质量与安全部门联合总经理Andreas Kuehlmann表示:“开源软件是现代软件开发的支柱,是速度、效率和创新的主要推动因素。但是如果不加以警惕的话,它也可能会带来风险。通过黑鸭软件组成分析解决方案,我们可以帮助客户受益于开源的优势,在无缝的DevOps友好体验中主动管理其固有风险。新思科技软件质量与安全部门致力于帮助全世界更快地构建安全、高质量的软件,被Forrester评为领导者是对我们的认可。
在报告中,Forrester称“开发者不再编写所有的代码以解决每一个问题。相反,他们组合、配置以及自动化代码,通常依赖于常见的开源组件来快速添加应用程序功能。”
报告还指出,“这些相同的关键开源组件却持续给企业带来风险”。因此,SCA已经成为确保现代应用程序开发安全性的关键。企业需要SCA供应商为其提供可操作的修复指导、灵活的策略管理以及开箱即用的风险报告,从而满足开发人员和首席信息安全官的需求。
黑鸭解决方案提供全面的软件组成分析解决方案,用于管理在应用程序和容器中使用开源和第三方代码所带来的安全性、质量和许可合规性风险。黑鸭解决方案提供无与伦比的第三方代码可视性,能够在整个软件供应链和整个应用程序生命周期对其进行控制。