Analyse von Forrester SCA für Schutz der Software-Lieferkette unverzichtbar

Attacken wie bei SolarWinds und Kaseya haben gezeigt, welche Risiken in der Software Supply Chain liegen können. Für deren Schutz eignen sich laut Forrester verschiedene Ansätze und Policies sowie der Einsatz von Software Composition Analysis (SCA).

In einem Blog-Eintrag betont Principal Analyst Sandy Carielli, dass SCA schon immer eine Rolle beim Schutz der Software Supply Chain gespielt habe. Das Verfahren hilft etwa bei der Identifizierung von Schwachstellen und Lizenzierungsrisiken in Open-Source-Bibliotheken. Im Rahmen der Studie „The Forrester Wave: Software Composition Analysis, Q3 2021“ haben die Marktforscher das Thema nun genauer beleuchtet.

Die „Beschützer“ der Supply Chain

Die Studie zeigt, dass aktuelle SCA-Anbieter Integritätsfunktionen für die Supply Chain ausbauen. Viele konzentrieren sich zunehmend auf ihre Rolle als „Beschützer“ in diesem Bereich und erweitern ihre Angebote entsprechend.

Dies ist vor allem angesichts des stark gestiegenen Anteils an Open-Source-Komponenten in auditiertem Code nötig: Während im Jahr 2015 noch 36 Prozent des Codes aus quelloffenen Bestandteilen entstand, lag dieser Wert 2020 bereits bei 75 Prozent. Zwar ist der Einsatz derartiger Komponenten praktisch und zeitsparend, bringt aber auch Risiken wie unbekannte Schwachstellen oder mangelnde Konformität mit Unternehmens-Policies mit sich.

Funktionsumfang beachten

Forrester rät SCA-Kunden daher bei der Partnersuche auf bestimmte Funktionen zu achten. So sollten SCA-Lösungen etwa Risiken quer über Open-Source-, Third-Party- und Closed-Source-Bibliotheken scannen können, um alltägliche Verfahren weitgehend abzudecken. Zudem sollten sie Entwicklern bei der Beseitigung von Schwachstellen, Lizenzierungsrisiken und veraltetem Code Hilfestellung geben. Entsprechende Remediation-Features sollten nicht nur möglichst einfach und sicher gestaltet sein, sondern auch eine Risikoeinschätzung der vorgeschlagenen Fehlerhebungen liefern.

Aktuelle Lösungen weisen auch auf Abhängigkeitsverwechslungen hin und entfernen sogar bösartigen Code aus Repositories. Gemäß den Vorgaben der US Cybersecurity Executive Order erstellen einige SCA-Lösungen bereits SBOMs („Software Bill of Materials“) im SPDX- oder CycloneDx-Format, um für die geforderte Transparenz zu sorgen.

Marktführer und Herausforderer identifiziert

Die Forrester-Studie hat auch das SCA-Marktumfeld analysiert und in Kategorien wie „Leader“, „Strong Performers“, „Contenders“ und „Challengers“ eingeteilt. Als Marktführer gelten demnach WhiteSource und Synopsys, während Sonatype, Snyk, Checkmarx, Veracode und Revenera als „Strong Performers“ gesehen werden. Unter den „Contenders“ finden sich FOSSA und JFrog, während GitLab als „Challenger“ kategorisiert ist.

Die ausführliche Studie „The Forrester Wave: Software Composition Analysis, Q3 2021“ steht auf der Forrester-Website zum Kauf bereit.

(ID:47619076)