Después de una evaluación en profundidad de 10 soluciones SCA a través de 37 criterios sobre cómo abordan las necesidades de los profesionales de seguridad y desarrolladores. La plataforma Nexus de Sonatype fue reconocida como líder del mercado, con un desempeño sólido y con la mayor presencia de mercado entre todas las empresas analizadas por The Forrester Wave, Q3 2021 en análisis de composición de software.
Destaca la creación de una solución que automatiza todas las partes de la seguridad de la cadena de suministro de software con énfasis en la seguridad de código abierto. Más importante aún, muestra cuán vital es para las organizaciones tener un control total de sus ciclos de vida de desarrollo nativos de la nube, incluido el código fuente abierto de terceros, el código fuente propio, la infraestructura como código (IaC) y el código en contenedores.
Conclusiones clave:
Gestión de políticas estelar, respaldada por datos de precisión
Forrester señala las capacidades superiores de políticas de Sonatype y la corrección de licencias y vulnerabilidades como razones clave del éxito. Según el informe:
“La política es un área de fortaleza para Sonatype, con políticas listas para usar que se alinean con una variedad de estándares (particularmente en el paquete IaC) y un motor de políticas que permite a los usuarios crear y asignar políticas a ciertos tipos de aplicaciones. «
Lo fundamental es brindar a las organizaciones el control de su código. En toda la plataforma Nexus, los clientes pueden crear políticas personalizadas de seguridad, licencias y arquitectura basadas en el tipo de aplicación u organización y hacer cumplir contextualmente esas políticas en cada etapa del ciclo de vida del desarrollo de software.
Sonatype tiene la base de datos más amplia, profunda y procesable de componentes de código abierto y vulnerabilidades. Examina las huellas digitales, no solo los nombres de archivos y los manifiestos de paquetes, para identificar con precisión el riesgo con las huellas digitales binarias avanzadas (ABF). Es esta precisión la que nos permite prometer pocos falsos positivos y negativos, por lo que cuando nuestros clientes establecen una política, saben que pueden confiar en ella.
Portafolio ampliado y automatización de la cadena de suministro de software de espectro completo
Forrester destacó la amplia capacidad de automatizar toda la cadena de suministro de software, como una de las fortalezas. En marzo, Sonatype anunció su “nueva” plataforma Nexus y, más recientemente, Sonatype Lift , que ayudan a facilitar la vida de los desarrolladores y los equipos de seguridad.
A medida que las preocupaciones por la seguridad en torno a las cadenas de suministro pasaron a ocupar un lugar central este año, Sonatype ha implementado soluciones que ofrecen a los clientes un control de espectro completo del ciclo de vida del desarrollo de software nativo de la nube, que incluyen:
• Código fuente abierto de terceros
• Código fuente de origen
• IaC
• Código en contenedor
• InnerSource
Como Panorama Technologies, estamos orgullosos de ser aliados de Sonatype y poder ayudar a nuestros clientes a mejorar la seguridad y rapidez en sus ciclos de desarrollo.
Fuente: Forrester