SCA竞争格局重塑：行业龙头Synopsys被击败，Sonatype问鼎王座

SCA竞争格局重塑！Sonatype逆袭，击败行业龙头Synopsys！

2023年6月12日，Forrester发布了「The Forrester Wave: Software Composition Analysis, Q2 2023」报告，SCA市场格局动荡，Sonatype击败Synopsys，问鼎王座。

软件成分分析在历史上并没有像SAST或DAST那样受到太多关注，但是Log4j漏洞和白宫行政命令要求SBOM已经让组织意识到开源依赖和软件供应链的重要性，Forrester高级分析师Janet Worthington表示：软件成分分析SCA本身已经从其他应用安全工具的背后走出阴影，现在正在走向前沿。

SCA供应商已经利用生成式人工智能来提供修复建议，为客户提供除了使用最新版本的开源代码库之外的选择，Worthington说。供应商不仅专注于帮助组织为自己的开源依赖创建软件材料清单，还专注于创建能够接收第三方供应商提供的SBOM的能力。

根据Forrester的观点，从「Strategy策略」维度来看，Snyk的在相当大的范围内被认为是最强大的。Checkmarx和Sonatype并列排名第二，Veracode排名第四，Mend.io排名第五。这与2021年8月的情况相比发生了巨大的变化，当时Synopsys获得金牌，Veracode获得银牌，Revenera获得铜牌，WhiteSource（现在是Mend.io）排名第四，JFrog排名第五，Snyk排名第六。

Worthington表示，SCA战略领导者帮助客户超越对应用程序本身的安全保护，并在基础设施文件、软件供应链和安全开发实践等方面提供协助。

从「当前产品current offering」维度来看，Sonatype以微弱的优势超过了Synopsys获得了金牌。Mend.io获得了铜牌，Snyk排名第四，Checkmarx排名第五。根据Forrester的观点，Sonatype的当前产品优势在2021年8月也是最强大的，但是其余排名前几位的情况发生了变化，WhiteSource（现在是Mend.io）获得了银牌，Snyk获得了铜牌，Synopsys排名第四。

Worthington表示，在过去的两年里，所有纯粹的SCA供应商都要么构建，要么收购了SAST能力，以便为客户提供对其专有代码和开源代码的更全面的理解。此外，静态测试公司、开发者流程工具和容器安全服务提供商也通过自建或收购的方式进入了SCA领域。

Worthington说：“每次有新的参与者进入，都会促使其他供应商提升他们的竞争能力。生产环节的人员的参与将有助于提高所有其他SCA供应商的竞争水平，从而在软件开发生命周期的早期阶段提供更多来自生产环节的上下文信息。”

Sonatype专注于数据以了解开源威胁

Sonatype专注于检测和拦截开源生态系统中的恶意活动，并建立了自己的研究部门，向客户提供关于不同属性和版本的开源软件的安全风险的建议。该公司已经在过去一年中发现了12万个开源恶意软件实例，并阻止了100万次恶意软件攻击，以及与特定版本相关的1,000个存在漏洞的开源软件。

Sonatype CEO Wayne Jackson表示说：“公共数据源实际上没有经过很好的整理，并且遗漏了很多专有披露信息。特别是在企业规模上，它们所遗漏或错误的内容在成千上万的开发人员中乘以倍数后确实非常重要。我们有着最好的数据很长时间了，这是我们的基础优势之一。”

Forrester批评Sonatype的生态系统复杂，需要结合独立SCA产品、repository firewalls和legacy pack add-ons一起共同发挥完整价值。Jackson表示，该公司希望其平台易于被组织中的不同群体接受，并与客户基础设施中可能存在的竞争技术兼容。

Snyk将开源和容器安全结合起来以发现问题

Snyk采用了以API为先的方法来生成SBOM，以便在发生变化时自动生成新的材料清单。这是因为手动输入大规模变化的复杂性与自动化生成相比存在困难，首席产品官Manoj Nair表示。他说，像亚马逊网络服务这样的公司在其产品中使用Snyk的开源安全情报，得益于其对实际存在漏洞的内容的可见性。

在部署新软件之前将开源和容器安全结合起来，使客户能够主动修复问题、使用正确的第三方软件并优先处理最关键的漏洞，Nair说道。他还希望将开发人员更多地嵌入到Snyk的开源和软件组成分析产品中，以帮助他们最大化投资回报。

Forrester批评Snyk在许可证管理功能方面有限，并且检测能力不如同行。Nair表示，自从Forrester完成评估以来，Snyk已经增强了将安全情报数据库中的数据应用于实际工作流的能力，并且将许可证管理功能专注于前瞻性用例，而不是传统的合规性用例。

Nair说：“如果客户对更传统的合规性导向的用例以及我们产品集成的能力不满意，我们会将FossID作为合作伙伴引入。”

Synopsys简化界面，为开发人员增加自动化

市场策略高级总监Patrick Carey表示，近年来，开源已经从终端用户组织中的独立治理团队和活动发展为DevSecOps模型的一部分，这创造了对更简单界面的需求。随着越来越多的SCA工作落在开发人员身上，Carey表示，体验必须变得更加自动化和流畅。

Carey表示，过去12至18个月，Synopsys已经开发了一个插件，通过利用该公司历史悠久的Black Duck引擎，使开发人员在编写代码时可以访问SCA。随着开发基础设施越来越多地迁移到云端，Carey表示，组织需要在基于云的平台上同时进行SCA和静态代码分析，以尽早发现和修复漏洞。

Forrester批评Synopsys在漏洞检测方面需要更多的差异化，并且没有将其专业版定位于DevSecOps用例。Carey表示，客户在敏捷DevOps流水线上部署Synopsys的专业版没有任何问题，并且打算构建桌面、云端和本地部署的解决方案，以与市场上客户最需要的需求保持一致。

SCA在国内的发展

随着供应链安全问题的频发，软件成分分析已经成为国内关键基础设施甲方和机构高度关注的问题之一。部分国内明星厂商已经前瞻性布局，也是为众多资本所看好的一个未来赛道方向。

来源：斯元商业咨询「网安新兴赛道厂商速查指南｜短名单精选 · Emerging Technology Vendor Index | Selective Shortlist」

来源：斯元商业咨询「网络安全科技供应链报告：厂商成分分析及国产化替代指南」

海云安董事长谢博士表示，SCA和SAST是安全左移最基础的两个工具，客户往往在构建开发安全体系的第一步就会同时引入，SCA意在帮助客户发现自己所使用的开源组件中的安全性问题，SAST则能帮助客户检测自研代码中的缺陷与安全问题。厂商同时拥有SAST和SCA产品覆盖，可以帮助客户识别和修复在开发阶段引入的大多数问题。

除了商机协同优势，在SCA、SAST产品技术融合方面也会带来优势，例如海云安SCA会将SAST中的语义分析技术融入，从而使得SCA能够识别并确认那些真正被调用、可能被利用的漏洞，提升了安全检测的精确度和管控效率，对于处于安全左移实际落地很有帮助。

软安科技产品总监吴菊华认为，在Forrester Q2关于SCA的报告中，Sonatype在Synopsys右侧表明Sonatype在战略上更胜一筹，在SCA产品能力方面优势微弱。其中，Sonatype在愿景、创新度、定价灵活度和透明度上明显优于Synopsys并取得最高分；产品能力领域，Sonatype在漏洞风险管理、合规风险管理、供应链安全方面以满分优势胜出，但在对研发团队友好的修复建议上落后于Synopsys，同时Synopsys有着更广泛、友好的覆盖度和兼容性。

近年来，国内SCA厂家经历了广大用户的复杂场景考验，大部分厂商仍专注于工具能力和创新，近两年已经有个别厂商提出了漏洞可达性等创新理念并实现，更好地服务于用户的实际漏洞处理和推进管理工作，未来，国内SCA工具预计还将在更精准的许可证识别能力、更贴合业务的使用建议、开源组件知识图谱、兼容第三方SBOM等方面继续深入发展，帮助开源治理用户更好的落地其管理工作。

奇科厚德副总经理龙文选表示，国内对SCA的市场需求刚刚起步，处于快速扩张阶段，近几年有多家厂商进入这个市场，厂商之间的竞争也越来越激烈。SCA市场的发展主要是受到软件供应链安全市场需求的推动和牵引。

对软件供应链安全的要求，推动了代码安全左移，促使软件企业更加关注自身软件中的开源成分和风险。国内用户对SCA的技术要求也更加丰富，源码分析、依赖分析、二进制分析都是必选项。另一方面，国内用户对互联网的安全性普遍比较担忧，因此在美国大力推进的SCA产品云化的趋势，在国内会受阻，预计国内SCA服务云化的趋势会非常缓慢。此外，海外软件用户因为软件供应链安全的管理要求，普遍要求我国的供应商提供SBOM，也部分推动了国内的开发企业熟悉和使用SCA产品。

SCA产品与服务的另一个趋势是专业化。由于代码片段扫描是开源软件扫描的主要技术之一，该技术需要庞大的知识库支持，因此随着开源代码规模的快速扩展，单一的大而全的知识库对硬件的要求越来越高、扫描速度也越来越慢，专业或者行业知识库在有效减少知识库的规模压力的同时，为行业客户提供了更加精准的服务，这也是奇科厚德SCA产品的一个重要方向。未来，随着国内软件供应链安全方面的标准和规定逐渐成熟，SCA市场会更加蓬勃。

相关链接：

https://www.careersinfosecurity.com/sonatype-snyk-synopsys-top-sw-comp-analysis-forrester-wave-a-22326

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。