The Forrester Wave™ Software Composition Analysis, Q3 2021: Principais Pontos
As soluções de Análise de Composição de Software (SCA), que varrem componentes de código aberto (Open Source) em busca de vulnerabilidades de segurança e conformidade de licença, tornaram-se um requisito essencial para qualquer organização que desenvolve seu próprio software. Por isso a importância de se fazer uma boa análise das soluções disponíveis para tratar este tema.
Recentemente a Forrester Research, empresa global independente de pesquisas e assessoria, divulgou seu relatório Forrester Wave ™ Software Composition Analysis atualizado para o terceiro trimestre de 2021, onde afirma que os componentes de código aberto representaram 75% de todas as bases de código em 2020. Isso é mais do que o dobro dos 36% em 2015. À medida que as organizações dependem cada vez mais de componentes externos para adicionar funcionalidades rapidamente às suas próprias soluções proprietárias, eles também assumem um risco maior, especialmente considerando que esses componentes ‘Open Source‘ podem conter vulnerabilidades não mitigadas ou violar as políticas de conformidade das organizações.
As melhores soluções SCA do mercado são aquelas que tratam tanto de componentes de código aberto quanto de uma ampla variedade de outras estruturas. Isso inclui contêineres, sem servidor e infra-estrutura como código (IaC). Nesta linha a WhiteSource obteve notas excelentes para visão de produto e melhorias planejadas, na avaliação do aspecto estratégico comparado a várias soluções de mercado.
Dado o número de alertas que as organizações enfrentam diariamente, não é mais sustentável revisar manualmente cada vulnerabilidade ou problema de conformidade de licença. Para resolver essa sobrecarga, a Forrester recomenda soluções que fornecem aos desenvolvedores conselhos sobre como remediar vulnerabilidades e riscos de licença e como atualizar automaticamente o código desatualizado. Para incentivar a adoção do desenvolvedor, as soluções SCA devem automatizar o máximo possível de seus conselhos de correção.
Protegendo a Cadeia de Suprimentos de Software
A solução Whitesource aparece em vários pontos do relatório, se destacando em muitos aspectos, inclusive integração no SDLC. Nas subcategorias de identificação de vulnerabilidade, correção, e também em abrangência da cobertura, a WhiteSource recebeu as notas gerais mais altas no relatório.
Você pode acessar o relatório completo neste link.
Fonte: WhiteSource