Gartner 2022年應用安全測試魔力象限 - 網安 - 專業的網絡安全產業、社區、知識平臺

現代應用程序設計和DevSecOps的加速采用正在擴大應用安全測試市場的范圍。通過在軟件交付生命周期中無縫集成和自動化應用安全測試過程，安全和風險管理負責人可以滿足更嚴格的工期，并測試更復雜的應用程序。

市場定義/描述

本文于2022年4月25日修訂。您正在閱讀的文檔是更正后的版本。

Gartner將應用程序安全測試(AST)市場定義成分析和測試應用程序安全漏洞產品和服務的買家和賣家。這個市場是高度動態的，并隨著應用程序架構和支持技術的變化而持續、快速發展。

本分析中，廠商評估部分，我們繼續增加對新興技術和方法的關注，以及滿足它們帶來的新需求的AST工具。總體而言，這個市場包括提供核心測試功能的工具，例如靜態、動態和交互式測試；軟件組合分析(SCA)；以及各種可選的、專門的功能。

AST工具或者作為本地部署軟件提供，或者更經常地以軟件即服務(SaaS)的訂閱方式提供。許多廠商都提供這兩種選擇。核心功能提供基本的測試功能，大多數組織使用其中的一種或幾種類型，包括:

靜態AST (SAST)分析應用程序的源代碼、字節碼或二進制代碼以找出安全漏洞，通常在軟件開發生命周期(SDLC)的編程和/或測試階段。
動態AST (DAST)分析應用程序在測試或運行階段的運行狀態。DAST模擬針對應用程序的攻擊(通常是支持web的應用程序，但越來越多的是應用程序編程接口[API])，分析應用程序的反應，從而確定它是否存在漏洞。
交互式AST(IAST)插樁到運行中的應用程序(例如，通過Java虛擬機[JVM]或.NET通用語言運行時[CLR])，并檢查其操作以識別漏洞。大多數實現是被動的，因為它們依賴于其他應用程序測試工具來采取動作。然后使用IAST工具進行評估。
SCA用于標識應用程序中使用的開源組件，偶爾也識別商業組件。發現已知的安全漏洞、潛在的許可問題和操作風險。

核心功能之外，可選功能提供了更專業的測試形式，通常根據組織的應用程序套裝或應用安全程序成熟度作為補充。它們包括:

API測試：API已經成為現代應用程序(例如，單頁面或移動應用程序)的重要組成部分，但是傳統的AST工具集可能無法完全測試它們，這導致了對專用工具和功能的需求。在開發和生產環境中發現API和測試API源代碼，以及使用抓取的流量或API定義以測試運行中的API，都是典型的功能。

應用程序安全編排和關聯(ASOC)：ASOC工具通過自動化工作流和處理結果來簡化軟件漏洞測試和修復。它們在開發生命周期和項目中自動化安全測試，同時從多個來源獲取數據。ASOC工具關聯和分析結果，集中展示，更容易解釋、分類和修復。它們充當應用程序開發和安全測試之間的管理和編排層。

關鍵業務的AST：在大型業務應用程序(如SAP、Oracle、Salesforce)環境中，識別應用程序代碼中的漏洞(如ABAP或其他特定廠商的私有語言)、錯誤配置、導致安全暴露的漏洞和錯誤。

容器安全：容器安全性掃描在部署之前檢查容器鏡像或完全實例化的容器，以發現安全問題。容器安全工具涵蓋多種任務，包括配置加固和漏洞評估任務。工具還會掃描是否存在秘密憑證，例如硬編碼的憑證或認證密鑰。容器安全掃描工具可以作為應用程序部署流程的一部分，也可以與容器庫集成，這樣安全評估就可以作為鏡像執行，并可以在未來使用。

開發人員賦能：開發人員賦能工具和功能支持開發人員和工程團隊成員創建安全代碼。這些工具主要集中于安全培訓和漏洞修復指導，以單獨的形式或集成到開發環境中。

模糊測試：模糊測試依賴于向程序提供隨機的、畸形的或意外的輸入，以識別潛在的安全漏洞，例如，應用程序崩潰或異常行為、內存泄漏或緩沖區溢出，或使程序處于不確定狀態的其他結果。模糊測試，有時被稱為不確定性測試，可以用于大多數類型的程序，盡管它特別適用于依賴大量輸入處理的系統(例如，Web應用程序和服務，API)。

基礎設施即代碼(IaC)測試：Gartner將軟件定義計算(SDC)、網絡和存儲基礎設施作為源代碼來生成、提供和配置定義為IaC。IaC安全測試工具有助于確保與常用配置強化標準的一致性，識別與特定操作環境相關的安全問題，定位嵌入的秘密憑證，并執行特定組織的標準和合規要求的測試。

移動AST(MAST)：它解決了與測試移動應用程序相關的特殊需求，例如那些運行在iOS、Android或其他操作系統設備上的應用程序。這些工具通常使用經過優化的傳統測試方法(例如，SAST和DAST)，以支持開發移動和/或物聯網應用程序的語言和框架。它們還測試這些環境特有的漏洞和安全問題。

Gartner持續觀察AST市場發展的主要驅動力是支持企業DevSecOps和云原生應用程序的需求。客戶需要提供高保證、高價值結果的產品，同時不能減慢開發工作。客戶希望產品更早地適應開發過程，測試通常由開發人員而不是安全專家驅動。因此，市場評估著重于買方的需求，包括對各種類型應用程序快速和準確測試的支持，以及在整個軟件交付工作流中以日益自動化的方式集成的能力。

魔力象限

廠商優勢和不足

Checkmarx

Checkmarx是這個魔力象限的領導者。它的重點仍然是提供豐富的、以開發人員為中心的工具，為其KICS IaC產品改進功能，增加了對供應鏈安全性的關注，以及一個用于關聯SDLC各個部分測試結果的工具。Checkmarx還為低代碼應用增加了一定程度的安全測試和免費增值模式（freemium，免費增值，一種商業模式，以免費基礎項目吸引用戶，對增值服務收費），將用戶擴展到非傳統客戶。

Checkmarx SCA的供應鏈安全(通過收購Dustico)執行行為分析，并對給定的開源包添加操作風險指標。Checkmarx可以一鍵生成軟件物料清單(SBOM)，當一個包的清單不符合SBOM標準，會通知用戶。

Checkmarx完美適合那些非常注重開發人員教育的客戶，這些客戶正在計劃或目前擁有一組復雜的開發技術，包括云原生技術。

優勢

Checkmarx最近修改了它的報價模式，現在它更連貫，更清晰，更容易預測年度應用安全測試的預算。這得到了Gartner客戶的積極反饋。
Checkmarx的平臺關聯引擎結合了API、IaC和SAST掃描的結果，為開發人員提供了更好視圖，包括對單個工具可能不太重要的緊急問題。該設計支持未來工具結果的添加，反映了整個市場未來的趨勢。
Checkmarx現在支持在SaaS模式中使用它的所有工具(除了DAST，它是通過合作伙伴作為托管服務交付的)，以滿足開發團隊的常見需求。

不足

Checkmarx的DAST依賴于合作伙伴(Invicti)。盡管這是一個很好的工具，但Netsparker并沒有像它自己的應用程序那樣清楚地包含在Checkmarx工具集中，而且，由于合作關系的性質，它的可用性取決于無法預測的變化。
客戶提到了高成本——這是許多廠商越來越普遍的擔憂。Checkmarx一直在簡化軟件許可，將大多數產品與開發人員的數量聯系起來。CxIAST和DAST托管服務是基于應用程序/項目。雖然定價模型更簡單，但成本仍然是Gartner Peer Insights中出現最多的問題。
老版本產品沒有平滑地與新產品組合集成，使得沒有使用最新平臺的用戶很難實現自動化。

Contrast Security

Contrast Security 是魔力象限的遠見者。最有名的是被動IAST，它不依賴主動掃描來生成攻擊和識別漏洞，而是依賴于已經計劃好的非安全性測試，例如質量保證(QA)。

Contrast Security總部位于美國，但也在歐洲、中東和非洲(EMEA)及亞太(APAC)地區銷售。最近，Contrast擴充了SAST功能，增加了對云原生應用的測試支持，例如Amazon Web Services (AWS) Lambda上的無服務器功能，并通過增加SBOM來改進其SCA。

Contrast Security非常適合那些在開發生命周期中尋找自動化、持續安全測試的組織。

優勢

Contrast Assess是最廣泛采用的IAST解決方案之一，并保持在Gartner了解的幾乎所有IAST候選名單中。Contrast 提供了最廣泛的IAST語言覆蓋，包括Java，. NET Framework，. NET Core，Node.js，Ruby，Python和Golang。
通過在功能測試期間使用被動IAST, Contrast Security使組織能夠以低開銷或專業知識為開發人員引入應用安全測試，并提供了使用Contrast Protect“右移”的選項。
Contrast Security將來自無服務器云功能代碼(如AWS Lambda)的上下文與該功能使用的服務配置相關聯，以確定服務配置是否比最小特權更寬松。

不足

Contrast Security不為傳統的Web應用程序提供DAST，它的Contrast Scan SAST編程語言覆蓋范圍有限。
Contrast Security不能識別IaC或容器級別的漏洞，而其他AST廠商越來越多提供這個功能。
Contrast Scan不包含一些AST廠商提供的獨立SAST-lite的“拼寫檢查”功能。
Contrast Assess僅僅插樁和測試后端應用；因此它不測試應用程序的客戶端代碼，也不識別前端代碼漏洞，例如基于DOM（文檔對象模型）的跨站腳本(XSS)。

Data Theorem

Data Theorem魔力象限的遠見者。它的產品集中于Web、移動應用、API和云應用安全測試。總部設在美國，大部分銷售在北美。它主要依賴于直接銷售，盡管它保持著一個小的、間接的渠道。地理上技術支持分布在多個區域。

Data Theorem產品強調可執行代碼的分析，使用一個結合各種方法的引擎來測試應用程序。這些技術包括傳統技術，如SAST和DAST，以及替代技術(如自動化滲透測試)。還支持應用程序發現。2021年底推出的Active Protection功能為應用程序提供了運行時保護和可觀察性，包括無服務器代碼和公共云服務。

優勢

隨著Active Protection功能的發布，該公司能同時提供應用安全測試和保護功能。該功能預計將與更成熟的DevSecOps團隊最為相關，在這些團隊中，應用程序安全責任包括編碼安全和運營/運行時安全。
同樣于2021年推出的軟件供應鏈產品，提供了向業務伙伴交付發現潛在安全問題的能力。SCA組件利用多個掃描引擎來識別開放源代碼，然后對代碼漏洞和軟件許可問題提供傳統見解，以及操作風險的一些指示。
開發人員賦能，包括用戶與Data Theorem應用安全工程師“聊天”的功能，以及對發現結果提供更常規的指導，都得到了改進。通過多種渠道反饋，包括ticket系統和集成開發環境(IDE)插件。

不足

靜態分析支持語言有限，特別是與更傳統的SAST供應商相比。它為更流行的語言提供了支持，但對不太常見或老版本語言的需求將使用替代工具來解決。
Data Theorem的客戶名單包括許多知名組織，盡管它是在這個魔力象限中被考察的較小的公司之一，不會經常出現在客戶名單上。然而所采用的總體方法以及測試和保護功能的組合可能會在更高級的開發和安全團隊中流行。
Data Theorem沒有開箱即用、本地實施的選項；然而，它確實提供了基于容器的產品，客戶可以在他們的私有云/本地數據中心中運行Data Theorem。這可能不適合處于安全程序早期階段的組織或沒有私有云的組織。

GitHub

GitHub位于利基象限。GitHub的應用安全測試產品包括SAST，加密憑證掃描和SCA，作為GitHub Enterprise高級安全產品的一部分。與其他廠商類似，其他功能是通過一系列合作伙伴和開源工具交付的。GitHub通常被認為是一個價值流交付平臺，應用安全測試功能只是價值流的一部分。合作伙伴生態系統為用戶提供了廣泛的選擇；然而，大量的合作伙伴產品很難創造無縫的、互通的體驗。

GitHub通常是許多組織選擇的源代碼存儲庫，公司成功地將其安全產品集成到開發人員工作流中。作為免費服務層的一部分，該公司免費提供一些安全功能。

優勢

GitHub的方法允許多個用戶同時處理同一個項目，甚至相同的代碼，而不會造成混淆。Gartner Peer Insights的客戶將這種協作能力作為安全檢查和輔導的巨大好處。
GitHub提供的SCA很好，主要圍繞其廣受好評的Dependabot工具。Dependabot可以主動識別具有已知安全漏洞的直接和傳遞依賴項，并自動更新它們。
客戶對GitHub的熟悉，以及它熟悉的工作流和與已建立的工具鏈的無縫集成，吸引了希望從安全SDLC開始的開發人員，認可預先集成安全能力的價值。

不足

該公司依賴于合作伙伴、以及集成SAST和SCA之外的安全SDLC所不可或缺的開源功能。盡管這比通常的集成平臺提供了更廣泛的選擇，但它增加了客戶的總擁有成本(TCO)和運營復雜性，因為他們需要從合作伙伴供應商那里購買、維護和更新額外的工具。
與其他廠商相比，對MAST的支持相對較弱。它的CodeQL引擎完成了大部分SAST的工作，并且缺乏對測試用戶身份驗證和針對實際設備或模擬設備測試的支持。
如果你不是一個GitHub用戶，這個工具集將不適合你的組織。

GitLab

GitLab是魔力象限的挑戰者。它使用Ultimate tier 提供應用安全測試作為其更廣泛的價值流交付平臺的一部分。它在自己的工作流程中結合了專有和開源的掃描工具和功能，提供SAST和DAST。

在過去的一年里，GitLab推出了IaC掃描，增加了Trivy，強化了其開源容器的安全性。此外，Gitlab引入了合規管道，這允許它定義不可修改管道配置，與特定合規框架保持一致，例如支付卡行業(PCI)。2021年，Gitlab提交了IPO申請，并進入納斯達克證券交易所(Nasdaq stock exchange)。

對于那些使用GitLab平臺進行持續應用交付并需要安全應用開發工作流的組織來說，GitLab非常適合。

優勢

廠商的應用安全測試產品，包括SAST、加密憑證檢測和依賴掃描，包含在Ultimate tier中，其價格是可預測的和透明的。此外，SAST和加密憑證檢測是GitLab免費版的一部分。
因為它提供了AST運行的開發環境，所以Gitlab提供了許多選項來在整個開發過程中實施安全性和合規性控制。例如，在開發人員的合并請求中顯示任何關于漏洞的警報，可以配置管道以定期掃描主/默認分支，并識別存在已知漏洞的任何組件。
GitLab提供容器掃描，包括對SCA漏洞的自動修復。它的模糊測試功能是細粒度的，易于使用，一般的專業知識就可以，這要歸功于它提供的自動化。

不足

GitLab缺少一些更成熟的AST產品所具有的特性。語言覆蓋范圍有限，而且儀表盤缺乏更成熟的應用安全測試工具的粒度和可定制性。它提供的SAST功能缺乏快速修復建議和實時拼寫檢查等功能。
GitLab在其產品中沒有提供IAST選項。
GitLab為不同的語言和框架使用不同的工具，其中許多都是開源的，盡管它對它們的開發和維護做出了積極的貢獻。例如，目前提供的DAST是開放Web應用程序安全項目(OWASP)的開源ZAP工具，其移動產品是MobSF，其容器掃描產品是Trivy。

HCL Software

HCL軟件是魔力象限的領導者。它的產品通過多種交付渠道提供了組合的應用安全測試功能。產品遍布全球，在北美和亞太地區滲透較深，通過直接和間接方式提供銷售和支持。

經過一段時間的產品功能合理化后，HCL Software正專注于對產品組合進行額外的增強，以滿足客戶的要求，并更好地與應用安全測試市場的總體方向保持一致。這些變化包括計劃將公司的“最佳修復定位”分析(這是市場上長期以來的第一個分析功能，可以優化修復工作)與新的自動修復功能結合起來。

優勢

基于IDE的Codesweep工具支持對代碼進行近乎實時的靜態分析，使用與AppScan相同的引擎。與其他廠商提供的類似工具一樣，Codesweep對于個人開發者來說是免費的，當與授權的AppScan實例一起使用時，它可以實現協作。Codesweep已經引入了自動修復指導，該公司聲稱超過50%的缺陷發現可以使用自動修復。
該公司的DAST產品有效地利用了統計分析和機器學習(ML)來優化掃描時間和結果。基于機器學習的應用程序爬蟲幫助建議測試的最佳目標，而程序的統計分析使用戶能夠平衡測試速度與完整性和準確性的需求。
HCL Software是能夠關聯多個測試方法并整合結果的供應商之一。在這種情況下，IAST結果自動與SAST和DAST結果相關聯，簡化了與優先級排序和結果分類的工作量。

不足

產品許可通過多種交付方式和定價選項獲得。雖然這為客戶提供了靈活性，但代價是價格的復雜性和難以在不同供應商之間比較價格。
客戶對技術支持質量的評分往往比其他“魔力象限”參與者稍低。用戶界面常常因產品而異，是客戶指出需要改進的另一個領域。
該公司的SCA產品OEM WhiteSource Software，盡管該公司正在實現一個完全自主的解決方案。客戶應該了解轉換的狀態和路線圖，以避免功能和支持方面的可能中斷。

Invicti

Invicti是這個魔力象限的挑戰者。其Invicti產品(前身為Acunetix和Netsparker)專注于IAST和DAST，后者是Invicti的核心競爭力。Netsparker是該領域最老的品牌之一，在開發者和安全研究人員中享有良好的聲譽。

Invicti沒有SAST產品，所以任何SAST工具都需要通過其他供應商采購。它通過合作關系為Checkmarx客戶提供DAST工具。伙伴關系可以提供對其他工具的更廣泛的使用。這種體驗不具備大型平臺玩家所具備的平滑整合，合作關系也會發生變化。

Invicti在美國、馬耳他和土耳其設有主要辦事處。銷售和分銷是直接支持和通過經銷商渠道。該公司在多個地區都表現出強大的影響力。

優勢

Invicti提供了市場上為數不多的活躍的IAST產品之一，它充分利用了DAST技術來組織針對應用程序的攻擊，然后可以通過插樁檢測到這些攻擊。這導致低誤報率；然而，與所有的IAST產品一樣，需要在代碼中添加插樁。
Invicti的DAST技術是其產品的基石，得到了客戶和更廣泛的安全社區的好評。
Invicti提供了自己的SCA產品，該產品與IAST和DAST工具相結合，可以為企業中的所有應用程序創建SBOM。在過去的一年中，這是Gartner客戶經常提出的問題，而Invicti是為數不多的提供此功能的AST供應商之一。

不足

Invicti的產品專注于傳統的Web應用程序，在這些應用程序中，他們的DAST專業知識可以得到更大的利用。不支持SAST、容器掃描、IaC掃描或移動或關鍵業務應用程序評估功能，任何合作伙伴也無法填補這一空白。這使得它不太適合云原生開發。
與SDLC的集成是廣泛的，盡管對開發人員賦能只是混合在功能中。支持廣泛的問題跟蹤、項目管理、持續集成(CI)服務器、生產力和通信工具，以及特權訪問管理(PAM)解決方案(用于身份驗證)。然而，雖然開發人員可以通過故障ticker集成或CI工具訪問結果信息，但沒有與IDE集成。
盡管它的Enterprise IAST產品涵蓋了最常見的現代語言(Java、. NET、Node.js)，但總體語言支持相當有限。更多的語言(Python、Ruby、Go等)預計將在2022年加入。

Micro Focus

Micro Focus是魔法象限的領導者。其Fortify產品線提供全面的應用安全測試功能，具有廣泛的語言覆蓋。Micro Focus總部位于英國，是全球IT產品和服務提供商。

2021年，Micro Focus改進了它的DAST，以支持需要雙因素認證(2FA)的應用程序，與SAST結果相關聯，使用分布式處理來擴展和支持客戶端JavaScript分析，并檢測客戶端XSS。Micro Focus擴展了面向云原生應用的安全測試功能，改進了SDLC集成，并改進了JavaScript SAST。在準備這個分析報告過程中，該公司宣布計劃收購debrick，一個瑞典的SCA工具供應商。

Fortify非常適合具有復雜應用項目的企業和具有經驗及高級需求的應用安全測試用戶。

優勢

Fortify Security Assistant是一個在IDE中運行的實時安全檢查器。它不能替代全面的SAST掃描；但是，它可以在代碼中為開發人員安全錯誤提供輕量級的自動檢查。
Micro Focus已經擴展了其Fortify Audit Assistant功能，為團隊提供了靈活性，手動檢查人工智能(AI)預測的問題，或選擇“自動預測”，它支持完全帶內結果自動分類。這有助于減少誤報。
Micro Focus提供了DAST，可以解決現代應用程序面臨的許多挑戰，例如掃描客戶端漏洞或支持雙因素認證等。

不足

希望開始他們的應用程序安全但沒有足夠應用安全測試知識的組織，常常被Fortify的產品線的全面性、粒度和成本所嚇跑。
Fortify不提供獨立被動IAST的選項，也不提供獨立模糊測試。它只提供主動的IAST，由其DAST幫助和交付。它的SCA是通過與Sonatype合作提供的。
與該領域的競爭對手相比，Fortify的用戶界面很復雜，用戶體驗(UX)也很過時。

NTT Applicaiton Security

NTT Applicaiton Security(以前的WhiteHat Security)是這個魔力象限的利基者。其產品正處于重大轉型階段，強調靜態和動態AST，以及SCA和IaC掃描。盡管獲得了全球NTT銷售渠道，大部分銷售仍在北美。主要由美國和愛爾蘭提供支持，NTT在57個國家提供補充支持。

2021年12月，NTT宣布了新的Vantage平臺。它包括Vantage Inspect (ShiftLeft產品的OEM版本，提供SAST、SCA和IaC)；Vantage Prevent(本地 DAST)；和Vantage Detect(SaaS DAST)。Sentinel產品仍然可用，但將側重于托管服務。

優勢

傳統優勢，特別是DAST，仍然高于平均水平，Vantage Prevent的“定向DAST”產品與行業趨勢保持一致，將動態和交互式AST結合在一起實現功能測試。通常，支持在開發過程的早期進行DAST測試。
該公司繼續提供其流行和獨特的定向修復補丁，修復在測試中發現的安全缺陷。它也是第一個提供直接訪問支持的平臺之一，將客戶與Sentinel測試平臺內的安全工程師連接起來，以幫助解決問題。
該公司將為使用Vantage平臺執行自己測試活動的客戶提供支持，并將逐漸使用現有的Sentinel產品進行托管測試。

不足

在過去的一年里，該公司的增長速度比整個AST市場要慢。出現在客戶候選名單上的次數減少了，在咨詢過程中提到的次數也比過去少了。部分原因可能是由WhiteHat Security改為NTT Application Security品牌變化造成的。這種變化經常在潛在客戶中造成混亂。
Vantage產品線的發布帶來了執行和路線圖風險。該公司表示，它計劃在可預見的未來保持這兩種產品，并將努力協調底層產品技術。這可能會導致新產品開發的減少，有利于性能和技術匹配和集成。整個產品的重點可能會隨著時間的推移而改變。當前和潛在客戶必須監控路線圖，以確保產品仍然是適合他們需求的選擇。
與其他一些供應商的情況一樣，NTT Application Security依賴OEM技術關系來提供其產品的元素。該公司與Now Secure在移動AST方面有著長期的合作關系。新的Vantage Inspect產品完全依賴于ShiftLeft的掃描引擎進行SAST、SCA和IaC測試。在這兩種情況下，如果這樣的OEM關系在某個時候動搖，，這種依賴可能會導致客戶環境的運營中斷。

Onapsis

Onapsis是這個魔力象限中的利基玩家。Onapsis非常重視關鍵業務應用程序，在該領域的客戶中享有很高的聲譽。

關鍵業務應用程序是那些組織依賴于管理其日常和持續進行的流程的應用程序，例如客戶關系管理(CRM)和人力資本管理(HCM)。Onapsis對這些應用環境、開發人員的需求以及關鍵業務應用程序面臨的特有安全風險持續保持著深刻的理解，因此脫穎而出。他們是這個魔力象限中唯一擁有致力于關鍵業務脆弱性研究的團隊的參與者。

Onapsis非常適合在業務線(LOB)和關鍵業務應用程序方面有大量投資的組織。

優勢

Onapsis為越來越多的關鍵業務語言和框架提供集成，如SAP、Oracle和Salesforce (Apex)。
除了漏洞的嚴重性之外，Onapsis還根據業務風險來整合結果，包括對業務風險的合理解釋、示例，以及在可能的情況下自動快速修復。
Onapsis在其產品組合中添加了SAP認證的插件。這允許他們發現SAP系統并提取技術信息以進行進一步分析。插件作為SAP系統上的組件運行，不與任何功能(業務相關的)模塊交互。
可用于IDE環境的插件包括Eclipse、SAP Web IDE、SAP HANA Studio、Visual Studio Code和SAP Business Application Studio，實現實時反饋。此外，附加的持續集成（CI）/持續部署(CD)集成可以掃描ABAP、SQLScript/AMDP、CDS ABAP、GIT存儲庫中的CDS HANA Views(XSA)、SAP TMS-UI5、SAP TMS-HANA、Jenkins和本地文件存儲庫。

不足

其他AST平臺廠商現在也支持一些語言，比如ABAP和Apex。然而，這些新進入者并不具備在特定框架下工作的專業知識，也不具備從Onapsis Research Labs獲得的關鍵業務應用程序漏洞的深入了解，盡管這種情況可能會發生變化。雖然Onapsis與SAP和Oracle有著廣泛的合作，但兩者都有自己的產品(如SAP的Code Vulnerability Analyzer)，在這個領域仍然是競爭對手。到目前為止，這些本地產品還沒有在Onapsis套件中看到的復雜性。
由于關注SAP和Oracle支持的應用程序，測試主要集中在這些框架上，放棄了對更廣泛的、不太特定的編碼類型和典型語言支持，這使得集成到更大或更傳統的應用安全測試環境有些挑戰性。
與傳統應用安全測試廠商的合作( 包括關聯多個廠商結果和建議)并不存在。

Rapid7

Rapid7是這個魔力象限的遠見者。它的核心競爭力一直在DAST和漏洞管理領域。其他核心功能通過與SAST (Checkmarx and Snyk)和SCA (Snyk)的合作關系。Rapid7將收購的Alcide和DivvyCloud合并為一個統一的解決方案—InsightCloudSec。這增加了Kubernetes和云安全態勢管理的新功能，并結合其tCell資產，使其在開發IaC、API和其他云原生應用安全工具的公司中處于強勢地位。

戰略收購和對現有產品的投資使Rapid7在把業務向云轉移的公司中處于有利地位，包含了許多常見的用于云原生開發和將應用程序轉移到云的工具。

優勢

Rapid7的現代開發人員工作流反映了DevSecOps生命周期的多個方面的整體概念，包括發現、API、策略管理和持續監控的功能。
Insight平臺在提供對各種工具和安全問題的可見性方面做得很好，提供了應用程序及其環境和安全上下文的360度視圖。
Rapid7持續收到Gartner客戶對于DAST的積極反饋，通過其Universal Translator(InsightAppSec提供)改進了傳統工具，它將格式、數據和協議標準化，以實現更有效的測試。

不足

盡管許多組織希望遷移到云，但是僅僅使用工具是不夠的。對于缺乏云計算經驗的組織，Rapid7的復雜性可能是一個缺點，對于處于早期和中期階段的組織來說，這可能是一個陡峭的學習曲線。
定價仍然是客戶反饋中最常被提及的問題之一，無論是價格還是復雜性。
Rapid7缺乏本地代碼靜態分析解決方案。該公司利用與Snyk和Checkmarx的合作關系，為客戶提供需要的能力。同樣，潛在買家應該確保他們理解任何合作或整合方式的產品路線圖和前景。

Snyk

Snyk是這個魔力象限的挑戰者。Snyk是一個著名的SCA廠商，已經擴展到應用安全測試，并且在全球都有業務。它的應用安全測試產品包括具有Snyk開源和Snyk容器功能的SCA產品，以及Snyk Code和Snyk基礎設施即代碼的SAST產品。

在過去的一年里，Snyk收購了FossID，為C/ c++提供SCA。它還推出了Snyk Learn，它的開發人員安全培訓產品，支持API漏洞測試的SAST功能。通過收購CloudSkiff, Snyk為IaC引入了配置漂移檢查。在2022年2月，Snyk還收購了Fugue，一家云安全態勢管理公司，擴大了其云安全能力。

Snyk非常適合DevSecOps管道和需要以開發人員為中心的SCA和SAST解決方案的組織，該解決方案具有良好的SDLC集成，可以識別應用程序代碼、底層容器和IaC中的漏洞。

優勢

在它的產品中，Snyk繼續反映了云原生應用程序開發的主要特征，即應用安全測試工具主要由開發人員使用，并且應用程序和基礎設施層的界限越來越模糊。Snyk平臺提供了一個開發者友好的應用安全測試工具，專注第三方和自建代碼中IaC安全、容器安全和應用程序安全。
Snyk提供了關于識別漏洞的詳細信息，以及IaC和容器的自動修復建議。Snyk還會檢查代碼中是否存在漏洞，從而對修復進行優先級排序。
廠商的應用安全測試產品定價清晰，公開150個開發人員所需要的報價。Snyk還提供了它所有產品的免費版本，包括對開源項目的無限使用。

不足

Snyk的AST產品缺乏內置的AST功能，通過其他產品實現，IAST(與Hdiv合作提供)，DAST(與Rapid7合作提供)和模糊測試（fuzzing）。客戶應確保了解并監控OEM和其他關系的狀態，以避免潛在的中斷。
如果企業主要購買應用安全測試供安全專業人員使用，而不是開發人員，可能會發現Snyk不提供他們需要的設置和功能。
在本地運行傳統應用程序的組織，以及那些使用已有的，老舊語言和框架進行開發的組裝，將無法利用Snyk的IaC和容器掃描功能，并且將會遇到對老舊應用程序有限的語言支持。

Synopsys

Synopsys是這個魔力象限的領導者。它的應用安全測試系列產品是業內最廣泛的組合之一，包括核心測試功能，以及更專業的工具。其業務在地理上遍布多地，集中于北美市場、亞太地區和歐洲市場。

該公司正在采用一種開放平臺的模式，將不同測試工具的結果集中到一起進行分析、分類和優先級劃分。這已經得到了正在開發的智能編排功能的支持，并收購Code Dx ASOC平臺。

優勢

一個廣泛的產品組合-包括SAST、DAST、IAST、SCA、IaC掃描、容器檢查、模糊測試、API測試等-以及對編配和集成的支持。這使得Synopsys非常適合具有復雜的、多團隊開發的、使用混合開發風格和編程技術的組織。
Synopsys經歷了強勁的增長，部分得益于龐大的銷售團隊，以及公司通過增值經銷商(VAR)、系統集成商(SI)和托管服務合作伙伴(MSP)的大力支持和對間接銷售重點關注。該公司還投資于客戶支持，提供一個發展中的全球多語言支持團隊。
對軟件供應鏈風險的擔憂導致了SBOM的創建和其他SCA增強。黑鴨SCA組件現在能夠以標準軟件包數據交換格式（SPDE）產生SBOM，該公司表示計劃將這種支持擴展到其他格式(例如Cyclone DX)。

不足

通過收購不同的產品實現增長的歷史，導致了一個具有各種圖形界面和用戶體驗的環境。盡管開發人員工具的良好集成有助于向開發人員掩蓋這種復雜性，但應用程序安全團隊必須切換不同的工具，以清楚地說明要執行的掃描和相關策略。這導致了對集成和配置的不同看法，大多數客戶認為配置是一個短板。
基于用戶的定價已經成為一種行業標準，Synopsys繼續在其產品組合中向這種模式遷移。考慮到產品線的廣度，以及附加服務和功能的可用性，定價可能會變得復雜。然而，客戶對定價和合同靈活性的滿意度通常與同行業廠商相當。
報告被客戶認為是一個弱點。這可能是單個產品組件提供的不同接口的另一個后果。在Code Dx中，來自不同工具的結果的聚合和關聯(需要額外的成本)可以幫助用戶實現更一致的體驗。

Verocode

Veracode是這個魔力象限的領導者。Veracode是一家知名的應用安全測試廠商，提供全面的SaaS AST服務，包括SAST、DAST、SCA和IAST。

在過去的一年中，Veracode引入了一個其SaaS產品的歐盟(EU)保留數據實例，靈活的策略功能支持SCA中的開源許可證風險管理用例，API掃描和動態分析中有限的加密憑證管理。

Veracode非常適合那些尋找多種應用安全測試功能的組織，特別是那些需要專家支持來增加其內部應用安全測試知識的組織。

優勢

該公司的DAST產品由獨立的Veracode Discovery服務補充，該服務可以掃描客戶的周邊區域，尋找以前未知的Web應用程序。
除了常見的開源漏洞數據來源外，Veracode的SCA產品還通過基于自然語言處理(NLP)的機器學習引擎提供支持，該引擎可以主動識別開源庫中的漏洞和操作風險來源。這種掃描工作從代碼提交的分析擴展到日志檢查、bug報告和其他來源。
Veracode為需要增長AST知識的組織提供了廣泛的支持。包括提供詳細修復指南的Veracode安全咨詢團隊、Veracode客戶管理和更廣泛的Veracode客戶社區。
Veracode已經對其長期以來的應用安全測試產品進行了深思熟慮的改變，以適應DevOps的場景。例如它的按需IDE掃描，在IDE中增加的IAST以及對開發人員的體驗式安全培訓。

不足

與許多其他AST廠商不同，Veracode不提供IaC掃描，對容器安全掃描的支持有限，也不提供模糊測試。Veracode在支持新的應用程序安全需求(如容器掃描和API安全掃描)方面一直比它的一些競爭對手慢。
雖然Veracode將自己定位為全球廠商，但該公司的大部分收入來自北美。
Veracode只以SaaS的形式提供產品，這限制了它進入新興市場的可能性，因為這些市場還不愿意將代碼暴露在云上。

入圍和出局標準

對于Gartner客戶，魔力象限和關鍵能力研究確定并分析市場中最相關的廠商和他們的產品。默認情況下，Gartner最多使用20個供應商支持識別市場中最相關的廠商。在某些特定的情況下，上限可能會被擴大，否則可能會降低對客戶的預期研究價值。入圍標準代表了分析師認為入圍本研究所必需的特定屬性。

為了獲得入圍資格，廠商需要在2021年11月22日之前滿足以下標準。

市場參與：

提供專用的AST解決方案，至少支持市場定義/描述部分和Gartner客戶相關技術能力中描述的下列四種AST功能中的兩種:
靜態應用程序安全測試
動態應用程序安全測試
交互式應用程序安全測試
軟件成分分析
并且，至少提供以下一種附加功能:
API測試
容器安全掃描
模糊測試
基礎設施即代碼測試
移動應用程序安全性測試

此外:

供應商必須遵循可重復的、一致的參與模型，主要使用他們自己的測試工具來實現測試功能。
工具必須作為內部部署的軟件或設備、基于云的設備或容器、SaaS或這三種形式因素的某種組合交付。

市場認可:

過去四個季度(20年第四季度和2021年前三個季度):

必須產生至少2500萬美元的應用安全測試收入，包括在北美和/或EMEA的2000萬美元(不包括專業服務收入)。

Gartner 客戶有關的技術能力:

具體來說，技術能力必須包括:

該產品主要關注于安全測試，以識別軟件安全漏洞，并提供了針對OWASP Top10和其他常見漏洞定義和標準的報告模板。
該產品能夠通過插件、API或命令行集成到開發環境(IDE插件/security linter)、CI/CD工具(如Jenkins)和bug跟蹤工具(如Jira)。
支持或指導開發人員修復漏洞。
對于SAST產品和/或服務:
支持常用開發語言(如Python, Java, C#， PHP, JavaScript)
至少為Eclipse、IntelliJ IDEA或Visual Studio IDE提供一個直接插件
對于DAST產品和/或服務:
提供具有專用web-應用層動態掃描功能的獨立AST解決方案
支持web腳本和自動化工具，如Selenium
對于IAST的產品和/或服務:
支持Java和.NET應用程序
對于SCA產品和/或服務:
能夠掃描常見的漏洞
掃描過時的漏洞庫
容器安全掃描產品及/或服務:
能夠集成應用程序倉庫和容器倉庫
掃描開源操作系統組件以發現已知漏洞，并對應到CVE
IaC的支持:
能夠在部署前進行靜態代碼測試
評估IaC工件的安全性問題，例如錯誤配置、嵌入加密憑證、不需要的服務或其他潛在風險
模糊測試
能夠運行自動化、持續模糊測試
支持常見編程語言。
API測試：
能夠提供識別API相關漏洞的測試，如OWASP API Top10和類似指南中闡明的漏洞。
理想情況下，支持通用和新興API類型和協議(例如REST、GraphQL)的能力。
移動AST：
能夠測試移動和/或物聯網應用常用的語言和框架(如Swift, Java和Kotlin)
能夠提供識別與移動應用程序相關的漏洞測試，例如OWASP Mobile Top10和類似指南中闡述的漏洞。

與Gartner客戶相關的業務能力：提供電話、電子郵件和/或網絡客戶支持。他們必須以英語提供合同、控制臺/門戶、技術文檔和客戶支持(作為產品/服務的默認語言或可選的本地化)。

背景

歡迎來到2022年應用程序安全測試的魔力象限。我們在去年的“魔力象限”中確定的許多趨勢，如安全成熟度、工具使用和組織越來越多地轉向云計算。都在繼續發展，在今天甚至變成了更為重要的問題。在2021年，我們從早期、中期和高級三個階段討論了團隊成熟度，簡要總結如下。

階段

描述

早期

在這個階段的團隊正在進行過渡，從將滲透測試作為主要的安全開發控制，到使用來自標準應用安全測試工具集的工具，通常是SAST和SCA。

中期

團隊已經建立了一個基本的過程，并且正在從“基于嚴重性”的度量標準集轉向“基于風險”的度量標準。這個階段的團隊通常擁有所有或大部分的基本工具，并希望在整個過程和安全態勢中進行增量改進。除了SAST/DAST/SCA，我們通常看到更多的使用IAST(有時是RASP)、API測試、模糊和IaC和容器安全工具的早期工作。

高級

高級團隊的特點是全部或大部分基于容器和云本地開發。通常，云原生或容器化應用程序已經從概念驗證(POC)階段過渡到完整的生產環境。除了早期階段的工具，我們看到了重視安全態勢管理(CSPM)/云工作負載保護平臺（CWPP）工具和云原生應用保護平臺（CNAPP）。

盡管有一些變化，但2022年仍將繼續發展。早期階段的組織仍然是最大的；然而，與去年相比，它的規模更小，約占問詢量的一半(去年是三分之二)，而其他兩種公司則占據了剩余的份額。這反映在我們從客戶那里看到的一些主題中。

向云遷移

我們看到越來越多的組織最終將生產從本地部署遷移到云中。盡管這一直是在指導范圍之內和做驗證測試，但應用程序正越來越多地從現有環境轉移到云，實現深度防御。Gartner越來越多地發現，開發人員和安全團隊對云攻擊面和防御選項并不了解。應用程序的安全環境發生了變化，但變化的程度以及云服務商提供的深度防御選項并不總是為人所理解。在某種程度上，這與另一個問題有關：安全團隊可能無法跟上容器化開發及其安全選項的速度。考慮到開發人員和安全團隊工作節奏都很快，他們都沒有大量的空閑時間來了解其他團隊技術的細節和發展。這可能會導致尷尬、高成本的延遲和暴露。

應用安全測試廠商越來越多地將云原生安全工具添加到他們的產品組合中，我們一直在改進魔力象限的標準來適應。許多廠商正在與安全團隊合作，使他們能夠快速提供各種選項。然而，這個行業還沒有達到應有的水平。我們看到安全教練在這里扮演著重要的角色，充當著兩個團隊之間的橋梁，但對于要兼職教練的開發人員來說，這往往是一個沉重的負擔。

基于風險的指標:

我們在2021年看到了一個重要的趨勢，DevSecOps市場日益成熟的一個表現是對基于風險指標越來越重視。許多早期階段的團隊使用漏洞嚴重性作為度量標準，這是一個良好的開端。是一個好用的風險估計值，例如，OWASP Top10通常是風險最大的漏洞。然而，風險和嚴重性很快就會分化，在這兩者中，在環境變化中風險更容易得到認可，并被高級管理人員更廣泛地理解。

不幸的是，真正的安全風險計算和其他措施相比，是多變的。例如業務風險對于每個組織都是獨特的，因為它們依賴于實現細節(如深度防御措施和事件響應措施)。在整個廠商領域，我們看到越來越多的人認識到風險在安全決策中扮演著越來越重要的角色，我們預計這一趨勢將在2022年繼續。

市場概述

應用程序安全測試市場繼續快速增長和發展，很大程度上遵循了去年《魔力象限》中概述的路線。在高水平上，可以觀察到三個趨勢:

持續快速增長和日益復雜的競爭
所需的檢測范圍的擴大
強調將許多應用程序安全功能直接轉移到開發和運營團隊的手中

增長和復雜性:

一項市場內最終用戶支出的分析顯示，2021年終端用戶支出將達到26億美元，同比增長20%。增長率超出了預期，反映出強勁的潛在需求。從地理上看，北美市場的規模有所增長，但其整體市場份額從73%下降至68%，而歐洲和英國(17%)以及亞太地區(12%)的市場份額有所增長。

市場驅動因素集中在不斷增加的監管和合規要求，以及對軟件相關的風險的日益認識。各種引人注目的軟件供應鏈攻擊凸顯了這些風險，并且至少在美國促使監管行動，將繼續推動整體應用程序安全需求。基于這些驅動因素，我們預計到2022年，全球應用安全測試市場最終用戶的支出將超過31億美元。

市場繼續看到傳統參與者和新玩家之間日益激烈的競爭。如開發基礎設施廠商，包括GitHub、GitLab、 Jfrog和Sonatype。云安全廠商繼續表現出一些重疊和競爭，特別是在容器安全和IaC掃描等領域。日益激烈的競爭導致一些供應商簡化和降低價格，并擴大其產品范圍，以提供更適合客戶需求的產品。這包括自然增長，以及通過收購增加功能。例如，Checkmarx收購Dustico；Rapid7收購Alcide；Snyk 收購FossID、CloudSkiff和Fugue；Sonatype收購MuseDev；以及Synopsys收購Code Dx。

擴大范圍:

變化的應用程序架構和新技術，這兩者都給組織的軟件組合帶來了復雜性和多樣性，需要新的應用安全測試方法和類型。被認為是小眾或不經常應用的測試方法，如IaC掃描，已經變得越來越主流。廠商繼續圍繞更傳統的測試方法進行創新。

魔力象限右側空白區域的增加反映了供應商繼續創新的需要，即使是在成熟的細分市場。例如靜態分析顯示了高滲透率，但廠商已經引入了新的方法來努力提高速度和準確性。長期以來，動態測試一直是Web應用程序測試的標準，作為一種測試API的手段，它正迎來新的生命和發展。SCA已經開始整合一些警告供應鏈攻擊相關的操作風險的特性。

以開發人員為中心的應用程序安全：

盡管組織仍然處于應用安全測試“左移”的不同階段，但是實現該愿景所需的底層開發人員支持和自動化/集成特性已經成為購買者必不可少的、普遍存在的需求。盡管執行的質量可能相差很大，但是魔力象限中的所有供應商都已經向市場交付了這些功能，并且支持以開發人員為中心的應用程序安全方法。

除了提高靈活性、易用性和速度等典型需求之外，在應用程序安全編排和管理功能等領域出現差異，并增加了更多的云原生應用程序安全和保護特性。這些有助于管理增加的測試復雜性，簡化在應用程序安全程序中包含的第三方和開源測試工具，并有助于對發現結果進行優先級和分類。

應用程序安全設計和測試任務的實際責任正在轉移到開發和工程團隊。Gartner的研究顯示，超過一半的軟件工程領導直接負責應用程序安全，另有三分之一分擔責任。盡管發生了全面的轉變，傳統的應用程序安全團隊仍然高度相關。我們看到這些小組的角色逐漸轉向策略設置和執行(例如，關于可接受的風險級別)，以及監督和報告組織的整體應用安全程序。這種轉變將推動其自身的創新，從風險角度簡化組織管理應用安全的能力。

（完）