すべてのライブラリとソフトウェア サプライ チェーンを保護します。
- Sonatype Lifecycle は純粋な SCA 製品です。
- Sonatype Repository Firewall は悪意のあるパッケージをブロックします。
- ライフサイクル
- リポジトリ ファイアウォール
- Advanced Legal Pack アドオンすべて、評価した差別化機能を活用するために必要であり、この評価で最も複雑なエコシステムとなっています。Sonatype の差別化されたイノベーション戦略には、セキュリティ、開発者、運用、法人格が含まれており、次世代のサプライ チェーン攻撃を防止します。
SCA ベンダーは、セキュリティとライセンスのリスクを効果的に発見して修正するだけでなく、今回のForrester Wave™ 分析内容は、政府と民間部門が最近注目しているソフトウェア サプライ チェーンのユースケースで差別化を図り、次のようなプロバイダーに注目しています。
1.開発者が脆弱性を修正し、ライブラリを最新の状態に保つのを支援します。
差別化された SCA ツールは、重大性、悪用可能性、成熟度、脆弱性などの複数の側面で検出結果に優先順位を付け、開発者がリスクに基づいて検出結果の優先順位を付けるのを支援します。高度な修復ガイダンスは、ライブラリの比較、推移的な脆弱性のルートレベルの解決、脆弱性の自動修復など、複数の代替手段の形式で提供されます。脆弱性が特定された古いコンポーネントに複数のメジャー バージョンのアップグレードが必要になると、技術的負債が蓄積します。SCA ツールは、アップグレードに最適なバージョンを含む自動プル リクエストを作成します。これにより、数千もの可能なバージョンを常に把握し続ける開発チームの負担が軽減されます。
2.ライセンスのリスクを管理します。
オープンソース ソフトウェアは共有とコラボレーションを促進しますが、組織はコードの使用、変更、配布に対するライセンス義務と制限を綿密に考慮する必要があります。SCA ツールは、宣言されたライセンス、監視されたライセンス、埋め込まれたライセンス、および有効なライセンスを識別する機
能で差別化されています。
- ソースコードスニペットの検出
- 帰属レポート。
- サードパーティおよびクローズド ソース ライセンスの検出
- 著作権情報の表面化
- 法的承認のためのワークフローの提供
などの課題に取り組んでいます。
3.ソフトウェアのサプライチェーンを強化します。
SCA ツールは、悪意のあるパッケージの検出を差別化し、依存関係の混乱、タイポスクワッティング、その他の次世代ソフトウェア サプライ チェーン攻撃を防ぐためにリポジトリと統合しています。プロジェクトの健全性により、運用リスクに関する洞察が得られ、より高度な SCA ツールは、ライブラリの提案やプロアクティブな脆弱性修復の際に、アクティビティ、来歴、システムを考慮します。SCA ツールはソフトウェア部品表 (SBOM) を生成しますが、完全な透明性を提供するためにサードパーティの SBOM を取り込んで分析できるツールはわずかです。パイプライン (コードの開発と構築に使用されるツール) のセキュリティは、構成ミスや脆弱な依存関係にさらされており、組織は攻撃にさらされています。精通した SCA ベンダーは、これらのツールを分析して保護する機能を追加しています。
そして、今回の分析により、個々のベンダーの次のような強みと弱みが明らかになりました。
「Sonatype は、私がこれまでに協力した中で最高のベンダーの 1 つです。誰もが顧客を理解し、顧客を満足させることに関心を持っています。」