Forrester wave что это

Forrester Wave: традиционное направление применения ECM-систем — это работа с внутренним контентом бизнеса

По материалам исследования, растущие потребности бизнеса в коммуникациях с внешними партнерами, клиентами, регулирующими органами и гражданами меняют классический фокус бизнеса на внутренний контент. По этой причине многие компании могут выбрать единого провайдера ECM с подходящим для всех кейсов решением. Forrester ориентирует ECM Wave на помощь лицам, принимающим решение, в выборе оптимального варианта.

Опубликованное в конце августа 2015 исследование отличается от предыдущего обзора Forrester по составу участников. 9 из 11 заслуживших внимание исследователей систем — IBM, EMC, Box, Microsoft, OpenText, M-Files, Alfresco, Lexmark, Everteam — признаны лидерами. Остальные 2 решения— iManage и SpringCM — названы сильными исполнителями. В отчете говорится, что классические ECM продолжают лидировать на рынке, тогда как новое поколение провайдеров претендует на высокие результаты. Они предлагают облачные сервисы и SaaS как вероятную альтернативу для управления бизнес-контентом.

IBM устанавливает отраслевые стандарты своим IBM Content Navigator. Он предлагает не только работу с бизнес-контентом, но и возможность доступа из любой точки мира с любого устройства. Система имеет наиболее широкие возможности на поле транзакционного контента, комбинированные с глубоким опытом применения в различных отраслях. Консолидация контента стала ведущим трендом в последние годы, и именно IBM здесь лидирует, предоставляя возможности миграции из ранее созданных хранилищ на IBM Content Manager OnDemand (CMOD) и IBM FileNet P8. IBM – лучший выбор для клиентов с точки зрения консолидации данных и развития кейс-менеджмента,безопасности и соответствия требованиям к управлению проектами.

EMC также соответствует всем требованиям бизнеса к ECM. Вендор лидирует по соответствию требованиям безопасности и широте портфолио. Documentum предлагает компаниям все необходимое, включая управление жизненным циклом, поиск, все возможности управления контентом и многое другое. Партнерство с VMware и Pivotal в рамках Project Horizon направлено на создание новой платформы для контента согласно концепции «мост в будущее». Инновационная система EMC — открытый вызов участникам рынка и заявка на рост рыночной доли. EMC — лидер для решения транзакционных задач в энергетики, инжиниринге, здравоохранении и медицинских исследованиях.

OpenText отличается широкими возможностями интеграции с SAP ERP и CRM, Oracle E-Business Suite. Исследователи называют его лучшим для многих бизнес-процессов, например ввода заказа в SAP ERP. Отмечается подход вендора к созданию единого рабочего пространства, включая неструктурированную информацию, папки задачи и этапы процессов. Сотрудники получают систему с интеграцией возможностей социального взаимодействия и ECM. Среди стратегических шагов вендора отмечается удачное приобретение Cordys. OpenText назван хорошим выбором для правительственных учреждений, нефтегазовой промышленности и производственных предприятий из-за высокого уровня интеграции с лидирующими транзакционными приложениями.

Сотрудничество с Microsoft может стать путем в облака для многих компаний. Автор исследования отмечает Office 365 и SharePoint Online в качестве облачных инноваций, включая синхронизацию файлов, доступ и социальное взаимодействие. SharePoint широко используется в бизнеса для управления документами и взаимодействия. Его возможности интеграции и совместимости несомненны. Хотя Microsoft вышла на рынок ECM позднее EMC, IBM и OpenText, его результаты столь же велики. По мнению аналитика Forrester корпоративным клиентам стоит обратиться к партнерам Microsoft для создания систем на SharePoint с требуемой функциональностью.

Было бы странно думать, что ИТ-директора выбирают бизнес-приложения одним махом. Выбор системы управления контентом требует массы данных, анализа референсов и тестирования демо-версий. С другой стороны, разработчикам крайне важны понимание потребностей рынка и аналитика ведущих исследовательских агентств. Разработка новых решений i-Sys www.doctrix.ru ведется на базе опыта лучших западных компаний и опыта сотен успешных проектов. Выбор платформы для каждого проекта осуществляется независимо, с учетом плюсов и минусов каждой системы и требований заказчика. Именно по причине уникальности каждой из ECM-систем, мы не сосредотачиваемся только на SharePoint, где имеем огромный опыт работы и собственные решения, но и активно развиваем экспертизы в решениях IBM.

Надеемся, что обзор данных свежего исследования Forrester поможет объективно оценить ситуацию на рынке ECM и вам.

Источник

Microsoft Security лидирует в восьми категориях Forrester Wave™

Отчет Forrester Wave™ по решениям для единого управления конечными точками

Продукт Microsoft Endpoint Manager признан лидером в отчете Forrester Wave™: Unified Endpoint Management, Q4 2021. 1

Отчет Forrester Wave™ об XDR-продуктах

Решение Microsoft Defender признано лидером в отчете Forrester Wave™: Extended Detection and Response (XDR) за IV квартал 2021 г. 2

Отчет Forrester Wave™ об IDaaS-решениях для управления удостоверениями

Решение Microsoft Security названо лидером в отчете Forrester Wave™ об IDaaS-решениях для управления удостоверениями за III квартал 2021 г. 3

Отчет Forrester Wave™ о платформах для аналитики безопасности

Решение Microsoft Azure Sentinel признано лидером в отчете Forrester Wave™ о платформах для аналитики безопасности за IV квартал 2020 г. 4

Отчет Forrester Wave™ по средствам безопасности для корпоративной электронной почты

Решение Microsoft Defender для Office 365 признано лидером в отчете Forrester Wave™ о средствах безопасности для корпоративной электронной почты за II квартал 2021 г. 5

Отчет Forrester Wave™ по средствам безопасности SaaS для конечных точек

Решение Microsoft Defender для конечной точки признано лидером в отчете Forrester Wave™ о средствах безопасности SaaS для конечных точек за 2 квартал 2021 года. 6

Отчет Forrester Wave™ о платформах для обеспечения безопасности неструктурированных данных

Решение Microsoft Security названо лидером в отчете Forrester Wave™ о платформах для обеспечения безопасности неструктурированных данных за 2 квартал 2021 г. 7

Отчет Forrester Wave™ по шлюзам для обеспечения безопасности в облаке

Решение Microsoft Cloud App Security названо лидером в отчете Forrester Wave™ по шлюзам для обеспечения безопасности в облаке за II квартал 2021 г. 8

Избавляйтесь от сложностей благодаря решениям Майкрософт для безопасности, признанными Forrester в семи категориях

Интегрированная и автоматизированная система защиты для нейтрализации угроз

Защитите свой бизнес с помощью решения для управления информационной безопасностью и событиями безопасности (SIEM) и расширенных инструментов обнаружения и нейтрализации кибератак (XDR).

Безопасность облачных приложений и ресурсов

Обеспечьте безопасность всей вашей облачной инфраструктуры благодаря комплексным средствам защиты рабочих нагрузок, которые сделают вашу среду полностью прозрачной.

Защита и контроль конфиденциальных данных

Настраивайте метки безопасности и хранения, чтобы защитить данные в облаках, приложениях и конечных точках.

Связаться с нами

1. Отчет Forrester Wave™ о решениях для единого управления конечными точками за 4 квартал 2021 г. Автор: Эндрю Хьюитт (Andrew Hewitt), Уилл МакКеон-Уайт (Will McKeon-White). Ноябрь 2021 г.
2. Отчет Forrester Wave™: Extended Detection and Response (XDR), Q4 2021, Allie Mellen, October 2021.
3. Отчет Forrester Wave™: Identity As A Service (IDaaS) For Enterprise, Q3 2021, Sean Ryan, August 2021.
4. Отчет Forrester Wave™ Security Analytics Platforms, Q4 2020, Joseph Blankenship, Claire O’Malley, December 2020.
5. Отчет Forrester Wave™ Enterprise Email Security, Q2 2021 Joseph Blankenship, Claire O’Malley, May 2021.
6. Отчет Forrester Wave™ Endpoint Security Software as a Service, Q2 2021, Chris Sherman with Merritt Maxim, Allie Mellen, Shannon Fish, Peggy Dostie, May 2021.
7. Отчет Forrester Wave™ Unstructured Data Security Platforms за 2 квартал 2021 г. Автор Хайди Шей (Heidi Shey). Май 2021 г.
8. Отчет Forrester Wave™ о шлюзах для обеспечения безопасности в облаке за II квартал 2021 г. Автор: Андраш Чер (Andras Cser). Май 2021 г.

Источник

Forrester wave что это

The Forrester Wave Methodology

Citations

For information about citations, download the Forrester Wave™ Citation Guidelines.

Executive Summary

The Forrester Wave™ is a guide for buyers considering their purchasing options in a technology marketplace. To offer an equitable process for all participants, Forrester follows a publicly available methodology, which we apply consistently across all participating vendors. Sometimes, vendors decide not to participate in the formal Forrester Wave evaluation process. In these instances, Forrester will evaluate the vendor according to The Forrester Wave And The Forrester New Wave™ Incomplete Vendor Participation Policy.

The Forrester Wave uses a transparent methodology to compare the players in a software, hardware, or services market so the role professionals we serve can make well-informed decisions without spending months conducting their own research. The Forrester Wave offers two major benefits to clients: our detailed analysis of vendors’ products and services, based on transparent criteria, and an Excel spreadsheet that allows clients to easily compare products and develop custom shortlists according to their own requirements. It is our practice to evaluate products we consider to be generally available no later than the time of the Wave kick off date.

Participants In The Forrester Wave Process

A Forrester Wave builds upon the participation of four key players:

The Forrester Wave Process Road Map: How Does It Work?

Preliminary Planning And Kickoff

In preparation for a Forrester Wave, the analyst will work with his or her research director and research associate to:

Gathering Evaluation Data

There are three inputs into a Forrester Wave evaluation: a questionnaire, an executive strategy and product demo session, and customer references. We will evaluate incomplete participants using Forrester estimates based on publicly available information. During this phase, the Forrester research team will:

Scoring And Reviewing

In this phase, the analyst will create scale explanations for each criterion, defining what best-in-class looks like for each. The analyst will use the facts gathered during the evaluation to score each vendor against that scale and to weight criteria according to importance. We’ll use those scores and weightings to produce the Forrester Wave graphic. We base Forrester Wave scoring on the questionnaire, demo/briefing, and customer reference surveys and/or interviews. We also base it on the analyst’s experience and expertise in the marketplace. At this stage, participating vendors — those that returned a questionnaire and did a briefing and/or demo with the analyst — will:

The Courtesy Preview And Publishing The Forrester Wave Report

Once we’ve developed and reviewed all the deliverables, it’s time to share the Forrester Wave with the world. Before publishing the deliverables, the team:

Источник

Выбор подходящего сервиса информирования об угрозах

Исследование, которое поможет специалистам по безопасности трезво оценить возможности поставщиков сервисов информирования об угрозах.

Еще совсем недавно выбор сервисов информирования об угрозах был, прямо скажем, невелик. Сейчас все изменилось. В ответ на возрастающую сложность ландшафта угроз, появилось множество поставщиков сервисов, каждый из которых предлагает свои экспертные знания. В условиях разросшегося высококонкурентного рынка крайне сложно подобрать правильное решение с учетом потребностей конкретной организации. Компания Forrester пытается облегчить этот выбор, проводя исследования внешних сервисов информирования об угрозах. Вот отчет о последнем таком исследовании — The Forrester New Wave™: External Threat Intelligence Services, Q3 2018.

По данным Forrester, корпорации со штатом более 1000 сотрудников в среднем подписаны на 4,2 коммерческих информационных канала об угрозах. В своем последнем отчете они попытались предоставить потребителям актуальную информацию для выбора подходящего поставщика на рынке аналитики угроз.

Специалисты Forrester детально проанализировали услуги 15 крупнейших поставщиков сервисов информирования об угрозах. На основе их отчета специалисты по безопасности смогут принять взвешенное решение, не тратя несколько месяцев на самостоятельное изучение предложений.

Четкая и понятная методология (подробнее о ней можно прочитать в документе Forrester Wave methodology guide ) упрощает для читателей выбор поставщиков в зависимости от релевантных для каждой компании критериев. Согласно отчету, исследователи характеризуют «Лабораторию Касперского» как «Сильного Игрока», предлагающего шесть услуг, которые выгодно отличают наши сервисы от конкурирующих.

Специалисты Forrester назвали способности «Лаборатории Касперского» по сбору и анализу информации «исключительными». Особенно они отметили эффективность глобального центра исследования и анализа угроз (GReAT), нашей команды экспертов, публикующей исследования более чем на 18 языках. Аналитики признают необходимость наблюдения полной картины ландшафта угроз, без привязки исключительно к западным источникам. И называют «Лабораторию Касперского» лучшим поставщиком информации об угрозах, не ограничивающимся исключительно западными данными. Ну и наконец, они отмечают что наши клиенты особенно впечатлены нашей способностью выявлять и отслеживать угрозы по всему миру.

Угрозы становятся все сложнее и разрушительнее, поэтому организациям обязательно следует вооружаться широким арсеналом средств для отражения надвигающихся атак. Выбрать подходящего поставщика информации об угрозах в 2018 году не такая уж и сложная задача, когда в широком доступе представлены такие ресурсы, как отчет Forrester. Абсолютное кибероружие пока еще не изобрели, но, когда речь идет об уязвимостях нулевого дня и APT-атаках, спасением зачастую является качественный сервис, поставляющий данные об угрозах.

Скачать полный отчет с иллюстрациями можно здесь.

Подробнее об услугах «Лаборатории Касперского» можно узнать на сайте Kaspersky Threat Intelligence.

Источник

Исследование Forrester: сравнение десяти ведущих вендоров Software Composition Analysis

В апреле 2019 года аналитическое агентство Forrester Research выпустило ежеквартальный отчет The Forrester Wave™: Software Composition Analysis, Q2 2019, с оценкой и сравнением десяти поставщиков решений класса Software Composition Analysis (далее — SCA). Данная статья является адаптированным переводом ключевых положений отчета.

Ключевые выводы

Что такое Software Composition Analysis? Процесс Software Composition Analysis является подвидом более широкого процесса Component Analysis фреймворка Cyber Supply Chain Risk Management (см. сайт NIST) и предназначен для определения потенциальных рисков использования стороннего и открытого программного обеспечения.

Программные решения типа Software Composition Analysis (SCA), соответственно, предназначены для автоматизированного обнаружения рисков и устранения уязвимостей в коде, контроля использования внешних (готовых) библиотек.

Для общего представления о Component Analysis и о Software Composition Analysis в частности, рекомендуем ознакомиться с материалом на сайте проекта OWASP.

Важность решений класса Software Composition Analysis (SCA) при реализации современных подходов по созданию безопасной среды разработки приложений

Принимая во внимание эти тенденции, потребителям решений класса SCA следует присмотреться к решениям вендоров, которые:

Критерии включения вендоров в обзор

У каждого из этих вендоров есть:

Методология Forrester Wave

Отчеты Forrester Wave являются руководством для покупателей, рассматривающих варианты приобретений ПО на рынке технологий. Чтобы предложить равный процесс для всех участников сравнения, Forrester следует методологии The Forrester Wave™ Methodology Guide при оценке участвующих вендоров.

В отчете проводится первичное исследование для формирования списка оцениваемых производителей. Первоначальный пул вендоров сужается на основе критериев отбора и включается в финальный список. Затем собирается подробная информация о продуктах и стратегиям с помощью анкетирования, демонстраций/брифинга, отзывов/интервью с клиентами. Эти входные данные, наряду с исследованием эксперта и его знанием рынка, используются для оценки вендоров по рейтинговой системе, в которой каждый участник сравнивается с другими.
Forrester явно указывает дату публикации (квартал и год) Forrester Wave в заголовке каждого отчета. Оценка вендоров, участвующих в данном исследовании Forrester Wave, произведена на основе материалов, предоставленных Forrester до 28.01.2019, дополнительные материалы после этого времени не принимались.

До публикации отчета, для оценки точности исследования, Forrester просит вендоров изучить результаты исследования. Производители, отмеченные в диаграмме Forrester Wave как неучаствующие, соответствуют критериям и могли бы быть включены в отчет, но отказались участвовать или только частично участвовали в исследовании. Они оцениваются в соответствии с политикой The Forrester Wave™ And The Forrester New Wave™ Nonparticipating And Incomplete Participation Vendor Policy, их позиция публикуется наряду с позицией участвующих вендоров.

Общие сведения о сравнении

Оценка по присутствию вендоров на рынке представлена размером круга на диаграмме и отражает объем установок продукта по каждому вендору, темп роста и прибыльность компании.

Примечание переводчика: в следующей таблице приведены экспертные оценки и весовые коэффициенты Forrester, исходя из которых и располагаются сравниваемые поставщики SCA на “волнах” Forrester. Подробную расшифровку оцениваемых показателей нам найти не удалось, тем не менее, важно отметить следующие особенности методики:

Профили вендоров

Анализ выявил следующие сильные и слабые стороны каждого вендора.

Leaders (Лидеры)

WhiteSource снижает время, необходимое для устранения рисков при помощи приоритизации. WhiteSource недавно представил возможность приоритизации уязвимостей через выполнение статического сканирования, чтобы понять, вызывается ли уязвимая часть компонента приложением напрямую. Если нет, то приоритет уязвимости понижается. Другой относительно недавней возможностью является автоматическое устранение уязвимостей через создание запросов (pull request) на обновление компонента до версии, которая соответствует политике компании.

Пользователи высоко оценивают поддержку большого количества языков и качество клиентской поддержки, но отмечают, что продукт мог бы лучше визуализировать транзитивные зависимости. У решения WhiteSource очень мало недостатков, но функционал по составлению перечня компонент, используемых в проекте (bill of materials или BOM), не оправдывает ожиданий. WhiteSource хорошо подходит компаниям, которым требуется сканирование на самых ранних этапах SDLC и которые ищут решение для приоритизации и автоматического устранения угроз.

Synopsys капитализирует приобретение Black Duck через сканирование бинарного кода и генерирование отчетов. Synopsys объединил функциональность своего решения и функционал Black Duck (Black Duck Hub и Protecode SC). Тем не менее, для более комплексного анализа на соответствие лицензионным требованиям, пользователи могут также использовать Black Duck Protex и Black Duck. Например, вы можете проанализировать различие между заявленными обнаруженными лицензиями, но вы должны будете использовать для этого два разных инструмента. В решении Synopsys есть еще другой функционал для интерактивного и статического сканирования – компания недавно выпустила платформу Polaris, предназначенную для объединения всех данных из инструментов предрелизного сканирования.

Пользователи доверяют продуктам сканирования кода от Synopsys, которые являются быстрыми и надежными, предоставляют подробные рекомендации для устранения угроз, но считают высоким уровень ложноположительных результатов. Synopsys предлагает возможности хорошего управления политиками, интеграции с SDLC-решениями, надежное проактивное управление уязвимостями, включая функцию сравнения спецификаций проекта (BOM), где выделены изменения компонентов. Тем не менее, Synopsys не оправдывает ожиданий, когда дело касается возможности автоматического устранения уязвимостей, которые предлагают другие ведущие вендоры. Synopsys хорошо подходит компаниям, команды разработки приложений которых имеют четкие требования интеграции с SDLC и которым нужны различные политики для разных типов приложений.

Strong Performers (Сильные игроки)

Snyk фокусируется на сценариях разработчиков для обновления версий и предоставлений исправлений. Цель компании заключается в том, чтобы позволить разработчикам устранять уязвимости и, как результат, не только предлагает возможность их исправления через создание запросов на обновление, но и позволяет работать с пользовательскими исправления, когда нет приемлемой версии компонента в репозитории. Snyk также предоставляет разработчикам визуализацию запросов в виде графа, который отображает связи и ассоциированные с ними уязвимости, что помогает разработчикам разобраться, зачем необходимы те или иные исправления.

Пользователи оценили нацеленность Snyk на потребности разработчиков, включая простую интеграцию в SDLC, автоматическое устранение уязвимостей, в том числе средствами исправления уязвимостей (custom patching) при отсутствии возможности ручного исправления кода, и визуализацию зависимостей. Тем не менее, для того, чтобы решение полностью удовлетворяло потребностям разработчиков, необходимо чтобы Snyk позволял не только обнаруживать уязвимости программного кода, но и предоставлять информацию обо всех версиях используемых программных компонент программного кода. Snyk большое внимание уделяет потребностям разработчиков и меньше потребностям специалистов по ИБ, поэтому в качестве рекомендации можно отметить, что необходимо расширить в Snyk функционал встроенной возможности аудита и генерирования отчетов. Snyk отлично подходит для компаний, у которых стоит задача реализовать автоматическое устранение уязвимостей программного кода на этапе его разработки.

Sonatype продолжает развивать платформу Nexus для улучшения показателей. Sonatype для обогащения своей базы уязвимостей использует репозиторий Nexus. Исследовательская группа Sonatype далее дополняет данные, связанные с обнаруженными новыми уязвимостями, информацией по способам их устранению и рекомендациями по изменению настроек, обновлению компонентов, а также рекомендациями по изменению программного кода. Платформа Nexus имеет несколько лицензий для различного функционала — DepShield, IQ Server, Nexus Auditor, Nexus Firewall, Nexus Lifecycle, Nexus Repository и Nexus Vulnerability Scanner, для получения максимальной эффективности от использования продуктов платформы Nexus потребуется подобрать правильную комбинацию этих компонент.

Пользователи данного решения отмечают низкий уровень ложноположительных срабатываний, интеграцию с репозиторием Nexus и высокий уровень пользовательской поддержки. Тем не менее, также подчеркивается, что решениям Sonatype требуется больше внимания обратить на доработку функционала по отслеживанию транзитивных зависимостей, а также предоставлению отчетных форм по результатам сканирования. Кроме того, сложности у пользователей продукта вызывает политика ценообразования и лицензирования при выборе правильного решения из большого многообразия продуктов компании.

Настоящее решение будет интересно компаниям, которые уже используют продукты Nexus, или которым требуется очень низкий уровень ложноположительных результатов сканирования.

Contenders (Соперники)

WhiteHat Security предлагает SCA-решение без ручного вмешательства для достижения максимальной скорости работы. WhiteHat Security известны тем, что их специалисты, для снижения уровня ложноположительных результатов сканирования, анализируют результаты сканирования перед отправкой вердикта пользователю. Теперь WhiteHat способен предложить полностью автоматизированное решение с помощью Sentinel SCA Essentials в дополнение к WhiteHat Sentinel SCA Standard, в котором все еще присутствует верификация результатов командой безопасности.

Решение WhiteHat Sentinel Essentials является новым, поэтому пользователи могут сталкиваться с незначительными недоработками. Отмечаются недостатки ролевой системы доступа, трудности в определении уязвимых зависимостей, но при этом высоко оценивается детализацию информации об уязвимостях. WhiteHat Security активно продолжает работать над улучшением своего продукта, позиционируемого как универсальный сканер (SCA, SAST, DAST).

WhiteHat Security лучше всего подойдет компаниям, разработчики которых разнятся в уровне зрелости: некоторым требуется скорость и у них достаточно опыта чтобы самостоятельно использовать предлагаемые продуктом возможности, другим необходима дополнительная помощь через ручной просмотр результатов срабатывания командой безопасности на стороне вендора.

Flexera отличается от своих конкурентов исследованиями безопасности. Secunia, Исследовательская группа Flexera, проводит раннее исследование новых уязвимостей, предоставляя пользователям Flexera информацию об уязвимости и способах борьбы с ней до того, как она будет официально зафиксирована в базе уязвимостей National Vulnerability Database (NVD). Успех этой группы измеряется на основе точности и времени отклика, все сообщения об уязвимостях были приняты в NVD и опубликованы в ней. Уязвимости, которые обнаруживает Secunia, отображаются в Flexera FlexNet Code Insight и обозначаются как найденные Secunia.
Хотя пользователи Flexera подтверждают гибкость пользовательского интерфейса и полезные функциональные возможности автоматизации. При этом они также сообщают, что документация и обучение работе с системой – малоинформативны, и их необходимо дополнять уровнем сервиса технической поддержки, а также сопровождением системы при внедрении, а реализованное API обладает ограниченной функциональностью.

Veracode предоставляет раздельное использование своих двух продуктов. В 2018 году Veracode приобрела SourceClear, чтобы дополнить свое решение Veracode Software Composition Analysis. SourceClear Software Composition Analysis представляет собой агентский инструмент сканирования, а Veracode Software Composition Analysis является облачным SaaS решением. Функционал этих продуктов пока не объединен — например, выполнение SCA возможно при использовании SaaS решения, — но не при использовании сканирования агентом. Veracode также предлагает статическое и динамическое предрелизное сканирование как дополнение к своим SCA-продуктам.

Пока Veracode полностью не объединит SourceClear и Software Composition Analysis, пользователи будут испытывать неудобства при закупке и продлении лицензий на продукты, при задержках в обновлениях функционала и разных уровней поддержки API. Тем не менее, вендор продолжает работу над интеграцией своих решений, и есть ожидание, что Veracode будет прицельно работать над устранением оставшихся различий между продуктами, особенно над совместной поддержкой языков и общим движком политик.

Veracode наилучшим образом подходит для компаний, которые уже используют продукты Veracode, и желающих ограничить количество поставщиков средств безопасности. Текущие пользователи Veracode высоко оценят перспективу настоящей платформы для безопасной разработки приложений, в которой данные SCA дополняют другие данные сканирования, полученные от продуктов Veracode.

Challengers (Претенденты)

GitLab быстро запустил свое решение на рынок, но сделал акцент на решении проблем разработчиков, меньше уделив внимания проблемам специалистов по ИБ. GitLab предлагает продукты для обеспечения безопасности с 2017 года, а теперь в функционал добавлена возможность статического и динамического анализа кода, помимо бинарного SCA. Тем не менее, некоторые возможности SCA, ориентированные на разработчиков, будут неудобными для специалистов по ИБ. Например, функция игнорирования дает возможность разработчикам игнорировать уязвимости любого уровня серьезности. Это вынуждает специалистов по ИБ тщательно отслеживать, какие уязвимости разработчики решили проигнорировать. Кроме того, GitLab склонен не тормозить сборку проверкой качества на этапе релиза. Вместо этого, он рекомендует использовать возможность просмотра, которая вынуждает специалистов по ИБ вручную просматривать статус каждой сборки.

GitLab активно и быстро внедрил и продолжает развивать функционал безопасности. Тем не менее, многие из этих возможностей пока еще в зачаточном состоянии или на стадии планирования. Пользователи при оценке решения подчеркивали отсутствие поддержки большого числа языков, неустойчивое обнаружение уязвимостей и базовые возможности управления политиками.

Обратить внимание на GitLab стоит, когда большинство, если не вся команда разработчиков используют его в качестве GitLab open source репозитория.

FOSSA улучшает продукт с помощью идентификации open source и проприетарных лицензий. FOSSA Compliance может автоматически обнаружить необработанный заголовок об авторских правах, а также различить частный код, код третьих сторон и защищенный авторским правом внешний код. В дополнение к этой технологии обнаружения, FOSSA заявляет, что работает с юридическими консультантами, компетентными в области open source лицензирования. FOSSA представляет собой решение уровня open source, что позволяет пользователям улучшать производительность продукта, а также добавлять поддержку новых языков и платформ.

Специалистам, работающим с этим инструментом, нравится оценка уязвимостей, предлагаемая FOSSA во время сборки, и они чувствуют, что результатам сканирования уязвимостей можно доверять. Некоторые пользователи FOSSA публикуют результаты сканирования и указывают FOSSA в качестве источника. FOSSA сам по себе является open source проектом, поэтому лучше рассматривать его как набор инструментов, в котором, и это подтверждают пользователи, скудная документация и продвинутый функционал, такой как сканирование контейнеров. Подробную долгосрочную дорожную карту трудно реализовать для open source проекта, так как FOSSA не может предвидеть, когда внешние участники проекта создадут новый функционал.

FOSSA следует рассматривать, если у вас есть желание и возможность вкладывать ресурсы в доработку и настройку SCA-продукта под специфичные требования компании.

JFrog ограничен сканированием бинарного кода, расположенного в своем репозитории Artifactory. С помощью JFrog XRay можно с высокой степенью детализации определить, что сканируется внутри бинарного кода, используя возможность отобрать объекты для наблюдения (watches), а затем соотнести политики с тем, что необходимо сканировать. Политики можно применять ко всему бинарному коду и к сборкам из различных репозиториев JFrog.

Пользователи средне оценили JFrog и отметили в качестве недостатков недостаточную гибкость функционала, не интуитивность интерфейса и ограничения при составлении отчетов. В качестве плюсов были отмечены: хорошая интеграция с JFrog Artifactory, быстрая скорость разработки новых функций и исправления обнаруженных проблем.

JFrog XRay следует рассматривать, когда уже используется JFrog Artifactory и требуется автоматическое устранение угроз.

Примечание переводчика.
В заключение, хотелось бы отметить разницу между взглядами Forrester и Gartner на рынок инструментов по анализу безопасности исходного кода: если Forrester в своем исследовании считает функционал SAST и DAST полезным расширением SCA-продуктов, то Gartner в своих исследованиях Magic Quadrant for Application Security Testing рассматривает решения на этом рынке с другой стороны и считает функционал SCA важным, но опциональным для SAST и DAST.
А что по этому поводу думаете вы? Верите ли, что SCA рынок останется отдельным направлением (и, например, конкуренция будет развиваться в сторону увеличения количества поддерживаемых интеграций со сторонними системами) или же более вероятным сценарием считаете покупку нишевых игроков SCA-рынка более богатыми производителями *AST решений?

Источник