技术文章

我们很高兴地宣布，Sonatype 已入选2023 年 Gartner 应用程序安全测试 (AST) 魔力象限。Gartner 已确定软件构成分析 (SCA)和软件供应链安全以及应用程序安全测试的其他功能。我们因执行能力和愿景完整性而获得认可。

“Gartner 观察到，AST 市场的发展很大程度上是由支持企业 DevSecOps 和云原生应用程序计划的需求驱动的。客户需要的产品能够提供高保证、高价值的发现，同时不会不必要地减慢开发工作。客户希望产品能够在早期阶段融入开发流程，测试通常由开发人员而不是安全专家驱动。因此，本次市场评估主要关注买方的需求，包括对各种应用程序类型的快速、准确测试的支持，以及集成到软件交付工作流程中并提高自动化水平的能力。” - 加特纳

Sonatype 长期以来以其行业领先的开源洞察力而闻名，该洞察力源于其市场领先的智能引擎，该引擎已分析了超过 1.2 亿个开源组件，并继续每天使用人工智能和专有行为分析评估超过 470 万个组件。作为 Maven 中央存储库的维护者，以及我们由超过 65 名安全研究人员组成的团队所贡献的专业知识，我们在 OSS 社区中赢得了良好的声誉。 

超过 2,000 个组织（包括财富 100 强中的 70% 和 1500 万开发人员）依赖我们的工具和专业知识。我们相信，我们的平台于 2023 年首次出现在 Gartner AST 魔力象限中，突显了我们的能力，使组织能够在竞争激烈的市场中无所畏惧地开发软件并加速创新。

90% 的公司都使用开源，监管机构和 CISO 对漏洞管理的兴趣日益浓厚。对于使用开源或需要跟踪和管理开源漏洞的组织来说，SCA 是现有措施的绝佳替代或补充。在当今的环境中，应对不断扩大的风险的工具不再是可选的。SCA 提供适合独特用例的优势，并且是任何现代工具箱的必需品。 

SAST 和 SCA 有什么区别？

SAST 和 SCA 之间的主要区别在于，SAST 查看源代码中的已知漏洞，而 SCA 则识别和分析最专门关注开源组件的二进制文件。

将 SAST 视为一名侦探，负责调查源代码中是否存在偷偷摸摸的漏洞。而 SCA 更像是一个质量检查员，负责检查现成的开源组件以确保它们对于应用程序来说是安全的。两者都致力于确保软件安全，但各有其独特的专业性。组织可能需要其中之一或两者，具体取决于其特定需求或用例。

构建更安全的软件供应链

我们经验丰富的团队由超过 65 名研究人员组成，十多年来一直致力于识别和修复易受攻击的 OSS 代码。他们分析了超过 1.2 亿个组件，比我们的竞争对手多出惊人的 40 倍。然而，我们的能力不仅仅由专门的团队提供支持。自动化也发挥着重要作用。Sonatype 存储库防火墙采用机器学习系统来检测可疑和恶意组件，阻止它们渗透组织的开发工作流程。 

事实上，Firewall 的专有 AI 模型已识别并阻止了超过 115,000 个恶意软件包。此功能对于我们所有的客户来说都是必不可少的，但对于那些仍在建立安全软件开发生命周期 (SDLC) 的客户来说尤其有价值。 

但受益于我们的工具的不仅仅是安全和开发团队。Sonatype 的高级法律包旨在在法律和开发之间架起一座桥梁。它利用自动化立即遵守归属和证明等开源许可义务，并向法律审查人员提供广泛的法律数据。 

进一步推动创新

Sonatype 始终致力于帮助我们的客户大规模管理软件供应链。我们将继续构建和改进工具，使我们的客户在不牺牲生产力的情况下更加安全。

下载Gartner 报告，了解以下方面的更多见解：

• Gartner之所以提到软件构成分析能力是应用安全测试的核心能力之一。 

• 为什么使用 SCA 来识别应用程序中使用的开源组件和（不太常见的）商业组件。

• 将技术提供商的优势和挑战与您的具体需求进行比较。
  
  

Gartner，应用程序安全测试魔力象限，Mark Horvath、  Dale Gardner、  Manjunath Bhat、  Ravisha Chugh、  Angela Zhu，2023 年 5 月 17 日。

GARTNER 是 Gartner, Inc. 和/或其附属公司在美国和国际上的注册商标和服务标志，MAGIC QUADRANT 是 Gartner, Inc. 和/或其附属公司的注册商标，经许可在本文中使用。版权所有。预订的。

Gartner 不认可其研究出版物中描述的任何供应商、产品或服务，也不建议技术用户仅选择那些具有最高评级或其他称号的供应商。Gartner 研究出版物包含 Gartner 研究组织的观点，不应被视为事实陈述。Gartner 不承担与本研究相关的所有明示或暗示的保证，包括对适销性或特定用途适用性的任何保证。