Gartner 2022年应用安全测试魔力象限 - 网安 - 专业的网络安全产业、社区、知识平台

现代应用程序设计和DevSecOps的加速采用正在扩大应用安全测试市场的范围。通过在软件交付生命周期中无缝集成和自动化应用安全测试过程，安全和风险管理负责人可以满足更严格的工期，并测试更复杂的应用程序。

市场定义/描述

本文于2022年4月25日修订。您正在阅读的文档是更正后的版本。

Gartner将应用程序安全测试(AST)市场定义成分析和测试应用程序安全漏洞产品和服务的买家和卖家。这个市场是高度动态的，并随着应用程序架构和支持技术的变化而持续、快速发展。

本分析中，厂商评估部分，我们继续增加对新兴技术和方法的关注，以及满足它们带来的新需求的AST工具。总体而言，这个市场包括提供核心测试功能的工具，例如静态、动态和交互式测试；软件组合分析(SCA)；以及各种可选的、专门的功能。

AST工具或者作为本地部署软件提供，或者更经常地以软件即服务(SaaS)的订阅方式提供。许多厂商都提供这两种选择。核心功能提供基本的测试功能，大多数组织使用其中的一种或几种类型，包括:

静态AST (SAST)分析应用程序的源代码、字节码或二进制代码以找出安全漏洞，通常在软件开发生命周期(SDLC)的编程和/或测试阶段。
动态AST (DAST)分析应用程序在测试或运行阶段的运行状态。DAST模拟针对应用程序的攻击(通常是支持web的应用程序，但越来越多的是应用程序编程接口[API])，分析应用程序的反应，从而确定它是否存在漏洞。
交互式AST(IAST)插桩到运行中的应用程序(例如，通过Java虚拟机[JVM]或.NET通用语言运行时[CLR])，并检查其操作以识别漏洞。大多数实现是被动的，因为它们依赖于其他应用程序测试工具来采取动作。然后使用IAST工具进行评估。
SCA用于标识应用程序中使用的开源组件，偶尔也识别商业组件。发现已知的安全漏洞、潜在的许可问题和操作风险。

核心功能之外，可选功能提供了更专业的测试形式，通常根据组织的应用程序套装或应用安全程序成熟度作为补充。它们包括:

API测试：API已经成为现代应用程序(例如，单页面或移动应用程序)的重要组成部分，但是传统的AST工具集可能无法完全测试它们，这导致了对专用工具和功能的需求。在开发和生产环境中发现API和测试API源代码，以及使用抓取的流量或API定义以测试运行中的API，都是典型的功能。

应用程序安全编排和关联(ASOC)：ASOC工具通过自动化工作流和处理结果来简化软件漏洞测试和修复。它们在开发生命周期和项目中自动化安全测试，同时从多个来源获取数据。ASOC工具关联和分析结果，集中展示，更容易解释、分类和修复。它们充当应用程序开发和安全测试之间的管理和编排层。

关键业务的AST：在大型业务应用程序(如SAP、Oracle、Salesforce)环境中，识别应用程序代码中的漏洞(如ABAP或其他特定厂商的私有语言)、错误配置、导致安全暴露的漏洞和错误。

容器安全：容器安全性扫描在部署之前检查容器镜像或完全实例化的容器，以发现安全问题。容器安全工具涵盖多种任务，包括配置加固和漏洞评估任务。工具还会扫描是否存在秘密凭证，例如硬编码的凭证或认证密钥。容器安全扫描工具可以作为应用程序部署流程的一部分，也可以与容器库集成，这样安全评估就可以作为镜像执行，并可以在未来使用。

开发人员赋能：开发人员赋能工具和功能支持开发人员和工程团队成员创建安全代码。这些工具主要集中于安全培训和漏洞修复指导，以单独的形式或集成到开发环境中。

模糊测试：模糊测试依赖于向程序提供随机的、畸形的或意外的输入，以识别潜在的安全漏洞，例如，应用程序崩溃或异常行为、内存泄漏或缓冲区溢出，或使程序处于不确定状态的其他结果。模糊测试，有时被称为不确定性测试，可以用于大多数类型的程序，尽管它特别适用于依赖大量输入处理的系统(例如，Web应用程序和服务，API)。

基础设施即代码(IaC)测试：Gartner将软件定义计算(SDC)、网络和存储基础设施作为源代码来生成、提供和配置定义为IaC。IaC安全测试工具有助于确保与常用配置强化标准的一致性，识别与特定操作环境相关的安全问题，定位嵌入的秘密凭证，并执行特定组织的标准和合规要求的测试。

移动AST(MAST)：它解决了与测试移动应用程序相关的特殊需求，例如那些运行在iOS、Android或其他操作系统设备上的应用程序。这些工具通常使用经过优化的传统测试方法(例如，SAST和DAST)，以支持开发移动和/或物联网应用程序的语言和框架。它们还测试这些环境特有的漏洞和安全问题。

Gartner持续观察AST市场发展的主要驱动力是支持企业DevSecOps和云原生应用程序的需求。客户需要提供高保证、高价值结果的产品，同时不能减慢开发工作。客户希望产品更早地适应开发过程，测试通常由开发人员而不是安全专家驱动。因此，市场评估着重于买方的需求，包括对各种类型应用程序快速和准确测试的支持，以及在整个软件交付工作流中以日益自动化的方式集成的能力。

魔力象限

厂商优势和不足

Checkmarx

Checkmarx是这个魔力象限的领导者。它的重点仍然是提供丰富的、以开发人员为中心的工具，为其KICS IaC产品改进功能，增加了对供应链安全性的关注，以及一个用于关联SDLC各个部分测试结果的工具。Checkmarx还为低代码应用增加了一定程度的安全测试和免费增值模式（freemium，免费增值，一种商业模式，以免费基础项目吸引用户，对增值服务收费），将用户扩展到非传统客户。

Checkmarx SCA的供应链安全(通过收购Dustico)执行行为分析，并对给定的开源包添加操作风险指标。Checkmarx可以一键生成软件物料清单(SBOM)，当一个包的清单不符合SBOM标准，会通知用户。

Checkmarx完美适合那些非常注重开发人员教育的客户，这些客户正在计划或目前拥有一组复杂的开发技术，包括云原生技术。

优势

Checkmarx最近修改了它的报价模式，现在它更连贯，更清晰，更容易预测年度应用安全测试的预算。这得到了Gartner客户的积极反馈。
Checkmarx的平台关联引擎结合了API、IaC和SAST扫描的结果，为开发人员提供了更好视图，包括对单个工具可能不太重要的紧急问题。该设计支持未来工具结果的添加，反映了整个市场未来的趋势。
Checkmarx现在支持在SaaS模式中使用它的所有工具(除了DAST，它是通过合作伙伴作为托管服务交付的)，以满足开发团队的常见需求。

不足

Checkmarx的DAST依赖于合作伙伴(Invicti)。尽管这是一个很好的工具，但Netsparker并没有像它自己的应用程序那样清楚地包含在Checkmarx工具集中，而且，由于合作关系的性质，它的可用性取决于无法预测的变化。
客户提到了高成本——这是许多厂商越来越普遍的担忧。Checkmarx一直在简化软件许可，将大多数产品与开发人员的数量联系起来。CxIAST和DAST托管服务是基于应用程序/项目。虽然定价模型更简单，但成本仍然是Gartner Peer Insights中出现最多的问题。
老版本产品没有平滑地与新产品组合集成，使得没有使用最新平台的用户很难实现自动化。

Contrast Security

Contrast Security 是魔力象限的远见者。最有名的是被动IAST，它不依赖主动扫描来生成攻击和识别漏洞，而是依赖于已经计划好的非安全性测试，例如质量保证(QA)。

Contrast Security总部位于美国，但也在欧洲、中东和非洲(EMEA)及亚太(APAC)地区销售。最近，Contrast扩充了SAST功能，增加了对云原生应用的测试支持，例如Amazon Web Services (AWS) Lambda上的无服务器功能，并通过增加SBOM来改进其SCA。

Contrast Security非常适合那些在开发生命周期中寻找自动化、持续安全测试的组织。

优势

Contrast Assess是最广泛采用的IAST解决方案之一，并保持在Gartner了解的几乎所有IAST候选名单中。Contrast 提供了最广泛的IAST语言覆盖，包括Java，. NET Framework，. NET Core，Node.js，Ruby，Python和Golang。
通过在功能测试期间使用被动IAST, Contrast Security使组织能够以低开销或专业知识为开发人员引入应用安全测试，并提供了使用Contrast Protect“右移”的选项。
Contrast Security将来自无服务器云功能代码(如AWS Lambda)的上下文与该功能使用的服务配置相关联，以确定服务配置是否比最小特权更宽松。

不足

Contrast Security不为传统的Web应用程序提供DAST，它的Contrast Scan SAST编程语言覆盖范围有限。
Contrast Security不能识别IaC或容器级别的漏洞，而其他AST厂商越来越多提供这个功能。
Contrast Scan不包含一些AST厂商提供的独立SAST-lite的“拼写检查”功能。
Contrast Assess仅仅插桩和测试后端应用；因此它不测试应用程序的客户端代码，也不识别前端代码漏洞，例如基于DOM（文档对象模型）的跨站脚本(XSS)。

Data Theorem

Data Theorem魔力象限的远见者。它的产品集中于Web、移动应用、API和云应用安全测试。总部设在美国，大部分销售在北美。它主要依赖于直接销售，尽管它保持着一个小的、间接的渠道。地理上技术支持分布在多个区域。

Data Theorem产品强调可执行代码的分析，使用一个结合各种方法的引擎来测试应用程序。这些技术包括传统技术，如SAST和DAST，以及替代技术(如自动化渗透测试)。还支持应用程序发现。2021年底推出的Active Protection功能为应用程序提供了运行时保护和可观察性，包括无服务器代码和公共云服务。

优势

随着Active Protection功能的发布，该公司能同时提供应用安全测试和保护功能。该功能预计将与更成熟的DevSecOps团队最为相关，在这些团队中，应用程序安全责任包括编码安全和运营/运行时安全。
同样于2021年推出的软件供应链产品，提供了向业务伙伴交付发现潜在安全问题的能力。SCA组件利用多个扫描引擎来识别开放源代码，然后对代码漏洞和软件许可问题提供传统见解，以及操作风险的一些指示。
开发人员赋能，包括用户与Data Theorem应用安全工程师“聊天”的功能，以及对发现结果提供更常规的指导，都得到了改进。通过多种渠道反馈，包括ticket系统和集成开发环境(IDE)插件。

不足

静态分析支持语言有限，特别是与更传统的SAST供应商相比。它为更流行的语言提供了支持，但对不太常见或老版本语言的需求将使用替代工具来解决。
Data Theorem的客户名单包括许多知名组织，尽管它是在这个魔力象限中被考察的较小的公司之一，不会经常出现在客户名单上。然而所采用的总体方法以及测试和保护功能的组合可能会在更高级的开发和安全团队中流行。
Data Theorem没有开箱即用、本地实施的选项；然而，它确实提供了基于容器的产品，客户可以在他们的私有云/本地数据中心中运行Data Theorem。这可能不适合处于安全程序早期阶段的组织或没有私有云的组织。

GitHub

GitHub位于利基象限。GitHub的应用安全测试产品包括SAST，加密凭证扫描和SCA，作为GitHub Enterprise高级安全产品的一部分。与其他厂商类似，其他功能是通过一系列合作伙伴和开源工具交付的。GitHub通常被认为是一个价值流交付平台，应用安全测试功能只是价值流的一部分。合作伙伴生态系统为用户提供了广泛的选择；然而，大量的合作伙伴产品很难创造无缝的、互通的体验。

GitHub通常是许多组织选择的源代码存储库，公司成功地将其安全产品集成到开发人员工作流中。作为免费服务层的一部分，该公司免费提供一些安全功能。

优势

GitHub的方法允许多个用户同时处理同一个项目，甚至相同的代码，而不会造成混淆。Gartner Peer Insights的客户将这种协作能力作为安全检查和辅导的巨大好处。
GitHub提供的SCA很好，主要围绕其广受好评的Dependabot工具。Dependabot可以主动识别具有已知安全漏洞的直接和传递依赖项，并自动更新它们。
客户对GitHub的熟悉，以及它熟悉的工作流和与已建立的工具链的无缝集成，吸引了希望从安全SDLC开始的开发人员，认可预先集成安全能力的价值。

不足

该公司依赖于合作伙伴、以及集成SAST和SCA之外的安全SDLC所不可或缺的开源功能。尽管这比通常的集成平台提供了更广泛的选择，但它增加了客户的总拥有成本(TCO)和运营复杂性，因为他们需要从合作伙伴供应商那里购买、维护和更新额外的工具。
与其他厂商相比，对MAST的支持相对较弱。它的CodeQL引擎完成了大部分SAST的工作，并且缺乏对测试用户身份验证和针对实际设备或模拟设备测试的支持。
如果你不是一个GitHub用户，这个工具集将不适合你的组织。

GitLab

GitLab是魔力象限的挑战者。它使用Ultimate tier 提供应用安全测试作为其更广泛的价值流交付平台的一部分。它在自己的工作流程中结合了专有和开源的扫描工具和功能，提供SAST和DAST。

在过去的一年里，GitLab推出了IaC扫描，增加了Trivy，强化了其开源容器的安全性。此外，Gitlab引入了合规管道，这允许它定义不可修改管道配置，与特定合规框架保持一致，例如支付卡行业(PCI)。2021年，Gitlab提交了IPO申请，并进入纳斯达克证券交易所(Nasdaq stock exchange)。

对于那些使用GitLab平台进行持续应用交付并需要安全应用开发工作流的组织来说，GitLab非常适合。

优势

厂商的应用安全测试产品，包括SAST、加密凭证检测和依赖扫描，包含在Ultimate tier中，其价格是可预测的和透明的。此外，SAST和加密凭证检测是GitLab免费版的一部分。
因为它提供了AST运行的开发环境，所以Gitlab提供了许多选项来在整个开发过程中实施安全性和合规性控制。例如，在开发人员的合并请求中显示任何关于漏洞的警报，可以配置管道以定期扫描主/默认分支，并识别存在已知漏洞的任何组件。
GitLab提供容器扫描，包括对SCA漏洞的自动修复。它的模糊测试功能是细粒度的，易于使用，一般的专业知识就可以，这要归功于它提供的自动化。

不足

GitLab缺少一些更成熟的AST产品所具有的特性。语言覆盖范围有限，而且仪表盘缺乏更成熟的应用安全测试工具的粒度和可定制性。它提供的SAST功能缺乏快速修复建议和实时拼写检查等功能。
GitLab在其产品中没有提供IAST选项。
GitLab为不同的语言和框架使用不同的工具，其中许多都是开源的，尽管它对它们的开发和维护做出了积极的贡献。例如，目前提供的DAST是开放Web应用程序安全项目(OWASP)的开源ZAP工具，其移动产品是MobSF，其容器扫描产品是Trivy。

HCL Software

HCL软件是魔力象限的领导者。它的产品通过多种交付渠道提供了组合的应用安全测试功能。产品遍布全球，在北美和亚太地区渗透较深，通过直接和间接方式提供销售和支持。

经过一段时间的产品功能合理化后，HCL Software正专注于对产品组合进行额外的增强，以满足客户的要求，并更好地与应用安全测试市场的总体方向保持一致。这些变化包括计划将公司的“最佳修复定位”分析(这是市场上长期以来的第一个分析功能，可以优化修复工作)与新的自动修复功能结合起来。

优势

基于IDE的Codesweep工具支持对代码进行近乎实时的静态分析，使用与AppScan相同的引擎。与其他厂商提供的类似工具一样，Codesweep对于个人开发者来说是免费的，当与授权的AppScan实例一起使用时，它可以实现协作。Codesweep已经引入了自动修复指导，该公司声称超过50%的缺陷发现可以使用自动修复。
该公司的DAST产品有效地利用了统计分析和机器学习(ML)来优化扫描时间和结果。基于机器学习的应用程序爬虫帮助建议测试的最佳目标，而程序的统计分析使用户能够平衡测试速度与完整性和准确性的需求。
HCL Software是能够关联多个测试方法并整合结果的供应商之一。在这种情况下，IAST结果自动与SAST和DAST结果相关联，简化了与优先级排序和结果分类的工作量。

不足

产品许可通过多种交付方式和定价选项获得。虽然这为客户提供了灵活性，但代价是价格的复杂性和难以在不同供应商之间比较价格。
客户对技术支持质量的评分往往比其他“魔力象限”参与者稍低。用户界面常常因产品而异，是客户指出需要改进的另一个领域。
该公司的SCA产品OEM WhiteSource Software，尽管该公司正在实现一个完全自主的解决方案。客户应该了解转换的状态和路线图，以避免功能和支持方面的可能中断。

Invicti

Invicti是这个魔力象限的挑战者。其Invicti产品(前身为Acunetix和Netsparker)专注于IAST和DAST，后者是Invicti的核心竞争力。Netsparker是该领域最老的品牌之一，在开发者和安全研究人员中享有良好的声誉。

Invicti没有SAST产品，所以任何SAST工具都需要通过其他供应商采购。它通过合作关系为Checkmarx客户提供DAST工具。伙伴关系可以提供对其他工具的更广泛的使用。这种体验不具备大型平台玩家所具备的平滑整合，合作关系也会发生变化。

Invicti在美国、马耳他和土耳其设有主要办事处。销售和分销是直接支持和通过经销商渠道。该公司在多个地区都表现出强大的影响力。

优势

Invicti提供了市场上为数不多的活跃的IAST产品之一，它充分利用了DAST技术来组织针对应用程序的攻击，然后可以通过插桩检测到这些攻击。这导致低误报率；然而，与所有的IAST产品一样，需要在代码中添加插桩。
Invicti的DAST技术是其产品的基石，得到了客户和更广泛的安全社区的好评。
Invicti提供了自己的SCA产品，该产品与IAST和DAST工具相结合，可以为企业中的所有应用程序创建SBOM。在过去的一年中，这是Gartner客户经常提出的问题，而Invicti是为数不多的提供此功能的AST供应商之一。

不足

Invicti的产品专注于传统的Web应用程序，在这些应用程序中，他们的DAST专业知识可以得到更大的利用。不支持SAST、容器扫描、IaC扫描或移动或关键业务应用程序评估功能，任何合作伙伴也无法填补这一空白。这使得它不太适合云原生开发。
与SDLC的集成是广泛的，尽管对开发人员赋能只是混合在功能中。支持广泛的问题跟踪、项目管理、持续集成(CI)服务器、生产力和通信工具，以及特权访问管理(PAM)解决方案(用于身份验证)。然而，虽然开发人员可以通过故障ticker集成或CI工具访问结果信息，但没有与IDE集成。
尽管它的Enterprise IAST产品涵盖了最常见的现代语言(Java、. NET、Node.js)，但总体语言支持相当有限。更多的语言(Python、Ruby、Go等)预计将在2022年加入。

Micro Focus

Micro Focus是魔法象限的领导者。其Fortify产品线提供全面的应用安全测试功能，具有广泛的语言覆盖。Micro Focus总部位于英国，是全球IT产品和服务提供商。

2021年，Micro Focus改进了它的DAST，以支持需要双因素认证(2FA)的应用程序，与SAST结果相关联，使用分布式处理来扩展和支持客户端JavaScript分析，并检测客户端XSS。Micro Focus扩展了面向云原生应用的安全测试功能，改进了SDLC集成，并改进了JavaScript SAST。在准备这个分析报告过程中，该公司宣布计划收购debrick，一个瑞典的SCA工具供应商。

Fortify非常适合具有复杂应用项目的企业和具有经验及高级需求的应用安全测试用户。

优势

Fortify Security Assistant是一个在IDE中运行的实时安全检查器。它不能替代全面的SAST扫描；但是，它可以在代码中为开发人员安全错误提供轻量级的自动检查。
Micro Focus已经扩展了其Fortify Audit Assistant功能，为团队提供了灵活性，手动检查人工智能(AI)预测的问题，或选择“自动预测”，它支持完全带内结果自动分类。这有助于减少误报。
Micro Focus提供了DAST，可以解决现代应用程序面临的许多挑战，例如扫描客户端漏洞或支持双因素认证等。

不足

希望开始他们的应用程序安全但没有足够应用安全测试知识的组织，常常被Fortify的产品线的全面性、粒度和成本所吓跑。
Fortify不提供独立被动IAST的选项，也不提供独立模糊测试。它只提供主动的IAST，由其DAST帮助和交付。它的SCA是通过与Sonatype合作提供的。
与该领域的竞争对手相比，Fortify的用户界面很复杂，用户体验(UX)也很过时。

NTT Applicaiton Security

NTT Applicaiton Security(以前的WhiteHat Security)是这个魔力象限的利基者。其产品正处于重大转型阶段，强调静态和动态AST，以及SCA和IaC扫描。尽管获得了全球NTT销售渠道，大部分销售仍在北美。主要由美国和爱尔兰提供支持，NTT在57个国家提供补充支持。

2021年12月，NTT宣布了新的Vantage平台。它包括Vantage Inspect (ShiftLeft产品的OEM版本，提供SAST、SCA和IaC)；Vantage Prevent(本地 DAST)；和Vantage Detect(SaaS DAST)。Sentinel产品仍然可用，但将侧重于托管服务。

优势

传统优势，特别是DAST，仍然高于平均水平，Vantage Prevent的“定向DAST”产品与行业趋势保持一致，将动态和交互式AST结合在一起实现功能测试。通常，支持在开发过程的早期进行DAST测试。
该公司继续提供其流行和独特的定向修复补丁，修复在测试中发现的安全缺陷。它也是第一个提供直接访问支持的平台之一，将客户与Sentinel测试平台内的安全工程师连接起来，以帮助解决问题。
该公司将为使用Vantage平台执行自己测试活动的客户提供支持，并将逐渐使用现有的Sentinel产品进行托管测试。

不足

在过去的一年里，该公司的增长速度比整个AST市场要慢。出现在客户候选名单上的次数减少了，在咨询过程中提到的次数也比过去少了。部分原因可能是由WhiteHat Security改为NTT Application Security品牌变化造成的。这种变化经常在潜在客户中造成混乱。
Vantage产品线的发布带来了执行和路线图风险。该公司表示，它计划在可预见的未来保持这两种产品，并将努力协调底层产品技术。这可能会导致新产品开发的减少，有利于性能和技术匹配和集成。整个产品的重点可能会随着时间的推移而改变。当前和潜在客户必须监控路线图，以确保产品仍然是适合他们需求的选择。
与其他一些供应商的情况一样，NTT Application Security依赖OEM技术关系来提供其产品的元素。该公司与Now Secure在移动AST方面有着长期的合作关系。新的Vantage Inspect产品完全依赖于ShiftLeft的扫描引擎进行SAST、SCA和IaC测试。在这两种情况下，如果这样的OEM关系在某个时候动摇，，这种依赖可能会导致客户环境的运营中断。

Onapsis

Onapsis是这个魔力象限中的利基玩家。Onapsis非常重视关键业务应用程序，在该领域的客户中享有很高的声誉。

关键业务应用程序是那些组织依赖于管理其日常和持续进行的流程的应用程序，例如客户关系管理(CRM)和人力资本管理(HCM)。Onapsis对这些应用环境、开发人员的需求以及关键业务应用程序面临的特有安全风险持续保持着深刻的理解，因此脱颖而出。他们是这个魔力象限中唯一拥有致力于关键业务脆弱性研究的团队的参与者。

Onapsis非常适合在业务线(LOB)和关键业务应用程序方面有大量投资的组织。

优势

Onapsis为越来越多的关键业务语言和框架提供集成，如SAP、Oracle和Salesforce (Apex)。
除了漏洞的严重性之外，Onapsis还根据业务风险来整合结果，包括对业务风险的合理解释、示例，以及在可能的情况下自动快速修复。
Onapsis在其产品组合中添加了SAP认证的插件。这允许他们发现SAP系统并提取技术信息以进行进一步分析。插件作为SAP系统上的组件运行，不与任何功能(业务相关的)模块交互。
可用于IDE环境的插件包括Eclipse、SAP Web IDE、SAP HANA Studio、Visual Studio Code和SAP Business Application Studio，实现实时反馈。此外，附加的持续集成（CI）/持续部署(CD)集成可以扫描ABAP、SQLScript/AMDP、CDS ABAP、GIT存储库中的CDS HANA Views(XSA)、SAP TMS-UI5、SAP TMS-HANA、Jenkins和本地文件存储库。

不足

其他AST平台厂商现在也支持一些语言，比如ABAP和Apex。然而，这些新进入者并不具备在特定框架下工作的专业知识，也不具备从Onapsis Research Labs获得的关键业务应用程序漏洞的深入了解，尽管这种情况可能会发生变化。虽然Onapsis与SAP和Oracle有着广泛的合作，但两者都有自己的产品(如SAP的Code Vulnerability Analyzer)，在这个领域仍然是竞争对手。到目前为止，这些本地产品还没有在Onapsis套件中看到的复杂性。
由于关注SAP和Oracle支持的应用程序，测试主要集中在这些框架上，放弃了对更广泛的、不太特定的编码类型和典型语言支持，这使得集成到更大或更传统的应用安全测试环境有些挑战性。
与传统应用安全测试厂商的合作( 包括关联多个厂商结果和建议)并不存在。

Rapid7

Rapid7是这个魔力象限的远见者。它的核心竞争力一直在DAST和漏洞管理领域。其他核心功能通过与SAST (Checkmarx and Snyk)和SCA (Snyk)的合作关系。Rapid7将收购的Alcide和DivvyCloud合并为一个统一的解决方案—InsightCloudSec。这增加了Kubernetes和云安全态势管理的新功能，并结合其tCell资产，使其在开发IaC、API和其他云原生应用安全工具的公司中处于强势地位。

战略收购和对现有产品的投资使Rapid7在把业务向云转移的公司中处于有利地位，包含了许多常见的用于云原生开发和将应用程序转移到云的工具。

优势

Rapid7的现代开发人员工作流反映了DevSecOps生命周期的多个方面的整体概念，包括发现、API、策略管理和持续监控的功能。
Insight平台在提供对各种工具和安全问题的可见性方面做得很好，提供了应用程序及其环境和安全上下文的360度视图。
Rapid7持续收到Gartner客户对于DAST的积极反馈，通过其Universal Translator(InsightAppSec提供)改进了传统工具，它将格式、数据和协议标准化，以实现更有效的测试。

不足

尽管许多组织希望迁移到云，但是仅仅使用工具是不够的。对于缺乏云计算经验的组织，Rapid7的复杂性可能是一个缺点，对于处于早期和中期阶段的组织来说，这可能是一个陡峭的学习曲线。
定价仍然是客户反馈中最常被提及的问题之一，无论是价格还是复杂性。
Rapid7缺乏本地代码静态分析解决方案。该公司利用与Snyk和Checkmarx的合作关系，为客户提供需要的能力。同样，潜在买家应该确保他们理解任何合作或整合方式的产品路线图和前景。

Snyk

Snyk是这个魔力象限的挑战者。Snyk是一个著名的SCA厂商，已经扩展到应用安全测试，并且在全球都有业务。它的应用安全测试产品包括具有Snyk开源和Snyk容器功能的SCA产品，以及Snyk Code和Snyk基础设施即代码的SAST产品。

在过去的一年里，Snyk收购了FossID，为C/ c++提供SCA。它还推出了Snyk Learn，它的开发人员安全培训产品，支持API漏洞测试的SAST功能。通过收购CloudSkiff, Snyk为IaC引入了配置漂移检查。在2022年2月，Snyk还收购了Fugue，一家云安全态势管理公司，扩大了其云安全能力。

Snyk非常适合DevSecOps管道和需要以开发人员为中心的SCA和SAST解决方案的组织，该解决方案具有良好的SDLC集成，可以识别应用程序代码、底层容器和IaC中的漏洞。

优势

在它的产品中，Snyk继续反映了云原生应用程序开发的主要特征，即应用安全测试工具主要由开发人员使用，并且应用程序和基础设施层的界限越来越模糊。Snyk平台提供了一个开发者友好的应用安全测试工具，专注第三方和自建代码中IaC安全、容器安全和应用程序安全。
Snyk提供了关于识别漏洞的详细信息，以及IaC和容器的自动修复建议。Snyk还会检查代码中是否存在漏洞，从而对修复进行优先级排序。
厂商的应用安全测试产品定价清晰，公开150个开发人员所需要的报价。Snyk还提供了它所有产品的免费版本，包括对开源项目的无限使用。

不足

Snyk的AST产品缺乏内置的AST功能，通过其他产品实现，IAST(与Hdiv合作提供)，DAST(与Rapid7合作提供)和模糊测试（fuzzing）。客户应确保了解并监控OEM和其他关系的状态，以避免潜在的中断。
如果企业主要购买应用安全测试供安全专业人员使用，而不是开发人员，可能会发现Snyk不提供他们需要的设置和功能。
在本地运行传统应用程序的组织，以及那些使用已有的，老旧语言和框架进行开发的组装，将无法利用Snyk的IaC和容器扫描功能，并且将会遇到对老旧应用程序有限的语言支持。

Synopsys

Synopsys是这个魔力象限的领导者。它的应用安全测试系列产品是业内最广泛的组合之一，包括核心测试功能，以及更专业的工具。其业务在地理上遍布多地，集中于北美市场、亚太地区和欧洲市场。

该公司正在采用一种开放平台的模式，将不同测试工具的结果集中到一起进行分析、分类和优先级划分。这已经得到了正在开发的智能编排功能的支持，并收购Code Dx ASOC平台。

优势

一个广泛的产品组合-包括SAST、DAST、IAST、SCA、IaC扫描、容器检查、模糊测试、API测试等-以及对编配和集成的支持。这使得Synopsys非常适合具有复杂的、多团队开发的、使用混合开发风格和编程技术的组织。
Synopsys经历了强劲的增长，部分得益于庞大的销售团队，以及公司通过增值经销商(VAR)、系统集成商(SI)和托管服务合作伙伴(MSP)的大力支持和对间接销售重点关注。该公司还投资于客户支持，提供一个发展中的全球多语言支持团队。
对软件供应链风险的担忧导致了SBOM的创建和其他SCA增强。黑鸭SCA组件现在能够以标准软件包数据交换格式（SPDE）产生SBOM，该公司表示计划将这种支持扩展到其他格式(例如Cyclone DX)。

不足

通过收购不同的产品实现增长的历史，导致了一个具有各种图形界面和用户体验的环境。尽管开发人员工具的良好集成有助于向开发人员掩盖这种复杂性，但应用程序安全团队必须切换不同的工具，以清楚地说明要执行的扫描和相关策略。这导致了对集成和配置的不同看法，大多数客户认为配置是一个短板。
基于用户的定价已经成为一种行业标准，Synopsys继续在其产品组合中向这种模式迁移。考虑到产品线的广度，以及附加服务和功能的可用性，定价可能会变得复杂。然而，客户对定价和合同灵活性的满意度通常与同行业厂商相当。
报告被客户认为是一个弱点。这可能是单个产品组件提供的不同接口的另一个后果。在Code Dx中，来自不同工具的结果的聚合和关联(需要额外的成本)可以帮助用户实现更一致的体验。

Verocode

Veracode是这个魔力象限的领导者。Veracode是一家知名的应用安全测试厂商，提供全面的SaaS AST服务，包括SAST、DAST、SCA和IAST。

在过去的一年中，Veracode引入了一个其SaaS产品的欧盟(EU)保留数据实例，灵活的策略功能支持SCA中的开源许可证风险管理用例，API扫描和动态分析中有限的加密凭证管理。

Veracode非常适合那些寻找多种应用安全测试功能的组织，特别是那些需要专家支持来增加其内部应用安全测试知识的组织。

优势

该公司的DAST产品由独立的Veracode Discovery服务补充，该服务可以扫描客户的周边区域，寻找以前未知的Web应用程序。
除了常见的开源漏洞数据来源外，Veracode的SCA产品还通过基于自然语言处理(NLP)的机器学习引擎提供支持，该引擎可以主动识别开源库中的漏洞和操作风险来源。这种扫描工作从代码提交的分析扩展到日志检查、bug报告和其他来源。
Veracode为需要增长AST知识的组织提供了广泛的支持。包括提供详细修复指南的Veracode安全咨询团队、Veracode客户管理和更广泛的Veracode客户社区。
Veracode已经对其长期以来的应用安全测试产品进行了深思熟虑的改变，以适应DevOps的场景。例如它的按需IDE扫描，在IDE中增加的IAST以及对开发人员的体验式安全培训。

不足

与许多其他AST厂商不同，Veracode不提供IaC扫描，对容器安全扫描的支持有限，也不提供模糊测试。Veracode在支持新的应用程序安全需求(如容器扫描和API安全扫描)方面一直比它的一些竞争对手慢。
虽然Veracode将自己定位为全球厂商，但该公司的大部分收入来自北美。
Veracode只以SaaS的形式提供产品，这限制了它进入新兴市场的可能性，因为这些市场还不愿意将代码暴露在云上。

入围和出局标准

对于Gartner客户，魔力象限和关键能力研究确定并分析市场中最相关的厂商和他们的产品。默认情况下，Gartner最多使用20个供应商支持识别市场中最相关的厂商。在某些特定的情况下，上限可能会被扩大，否则可能会降低对客户的预期研究价值。入围标准代表了分析师认为入围本研究所必需的特定属性。

为了获得入围资格，厂商需要在2021年11月22日之前满足以下标准。

市场参与：

提供专用的AST解决方案，至少支持市场定义/描述部分和Gartner客户相关技术能力中描述的下列四种AST功能中的两种:
静态应用程序安全测试
动态应用程序安全测试
交互式应用程序安全测试
软件成分分析
并且，至少提供以下一种附加功能:
API测试
容器安全扫描
模糊测试
基础设施即代码测试
移动应用程序安全性测试

此外:

供应商必须遵循可重复的、一致的参与模型，主要使用他们自己的测试工具来实现测试功能。
工具必须作为内部部署的软件或设备、基于云的设备或容器、SaaS或这三种形式因素的某种组合交付。

市场认可:

过去四个季度(20年第四季度和2021年前三个季度):

必须产生至少2500万美元的应用安全测试收入，包括在北美和/或EMEA的2000万美元(不包括专业服务收入)。

Gartner 客户有关的技术能力:

具体来说，技术能力必须包括:

该产品主要关注于安全测试，以识别软件安全漏洞，并提供了针对OWASP Top10和其他常见漏洞定义和标准的报告模板。
该产品能够通过插件、API或命令行集成到开发环境(IDE插件/security linter)、CI/CD工具(如Jenkins)和bug跟踪工具(如Jira)。
支持或指导开发人员修复漏洞。
对于SAST产品和/或服务:
支持常用开发语言(如Python, Java, C#， PHP, JavaScript)
至少为Eclipse、IntelliJ IDEA或Visual Studio IDE提供一个直接插件
对于DAST产品和/或服务:
提供具有专用web-应用层动态扫描功能的独立AST解决方案
支持web脚本和自动化工具，如Selenium
对于IAST的产品和/或服务:
支持Java和.NET应用程序
对于SCA产品和/或服务:
能够扫描常见的漏洞
扫描过时的漏洞库
容器安全扫描产品及/或服务:
能够集成应用程序仓库和容器仓库
扫描开源操作系统组件以发现已知漏洞，并对应到CVE
IaC的支持:
能够在部署前进行静态代码测试
评估IaC工件的安全性问题，例如错误配置、嵌入加密凭证、不需要的服务或其他潜在风险
模糊测试
能够运行自动化、持续模糊测试
支持常见编程语言。
API测试：
能够提供识别API相关漏洞的测试，如OWASP API Top10和类似指南中阐明的漏洞。
理想情况下，支持通用和新兴API类型和协议(例如REST、GraphQL)的能力。
移动AST：
能够测试移动和/或物联网应用常用的语言和框架(如Swift, Java和Kotlin)
能够提供识别与移动应用程序相关的漏洞测试，例如OWASP Mobile Top10和类似指南中阐述的漏洞。

与Gartner客户相关的业务能力：提供电话、电子邮件和/或网络客户支持。他们必须以英语提供合同、控制台/门户、技术文档和客户支持(作为产品/服务的默认语言或可选的本地化)。

背景

欢迎来到2022年应用程序安全测试的魔力象限。我们在去年的“魔力象限”中确定的许多趋势，如安全成熟度、工具使用和组织越来越多地转向云计算。都在继续发展，在今天甚至变成了更为重要的问题。在2021年，我们从早期、中期和高级三个阶段讨论了团队成熟度，简要总结如下。

阶段

描述

早期

在这个阶段的团队正在进行过渡，从将渗透测试作为主要的安全开发控制，到使用来自标准应用安全测试工具集的工具，通常是SAST和SCA。

中期

团队已经建立了一个基本的过程，并且正在从“基于严重性”的度量标准集转向“基于风险”的度量标准。这个阶段的团队通常拥有所有或大部分的基本工具，并希望在整个过程和安全态势中进行增量改进。除了SAST/DAST/SCA，我们通常看到更多的使用IAST(有时是RASP)、API测试、模糊和IaC和容器安全工具的早期工作。

高级

高级团队的特点是全部或大部分基于容器和云本地开发。通常，云原生或容器化应用程序已经从概念验证(POC)阶段过渡到完整的生产环境。除了早期阶段的工具，我们看到了重视安全态势管理(CSPM)/云工作负载保护平台（CWPP）工具和云原生应用保护平台（CNAPP）。

尽管有一些变化，但2022年仍将继续发展。早期阶段的组织仍然是最大的；然而，与去年相比，它的规模更小，约占问询量的一半(去年是三分之二)，而其他两种公司则占据了剩余的份额。这反映在我们从客户那里看到的一些主题中。

向云迁移

我们看到越来越多的组织最终将生产从本地部署迁移到云中。尽管这一直是在指导范围之内和做验证测试，但应用程序正越来越多地从现有环境转移到云，实现深度防御。Gartner越来越多地发现，开发人员和安全团队对云攻击面和防御选项并不了解。应用程序的安全环境发生了变化，但变化的程度以及云服务商提供的深度防御选项并不总是为人所理解。在某种程度上，这与另一个问题有关：安全团队可能无法跟上容器化开发及其安全选项的速度。考虑到开发人员和安全团队工作节奏都很快，他们都没有大量的空闲时间来了解其他团队技术的细节和发展。这可能会导致尴尬、高成本的延迟和暴露。

应用安全测试厂商越来越多地将云原生安全工具添加到他们的产品组合中，我们一直在改进魔力象限的标准来适应。许多厂商正在与安全团队合作，使他们能够快速提供各种选项。然而，这个行业还没有达到应有的水平。我们看到安全教练在这里扮演着重要的角色，充当着两个团队之间的桥梁，但对于要兼职教练的开发人员来说，这往往是一个沉重的负担。

基于风险的指标:

我们在2021年看到了一个重要的趋势，DevSecOps市场日益成熟的一个表现是对基于风险指标越来越重视。许多早期阶段的团队使用漏洞严重性作为度量标准，这是一个良好的开端。是一个好用的风险估计值，例如，OWASP Top10通常是风险最大的漏洞。然而，风险和严重性很快就会分化，在这两者中，在环境变化中风险更容易得到认可，并被高级管理人员更广泛地理解。

不幸的是，真正的安全风险计算和其他措施相比，是多变的。例如业务风险对于每个组织都是独特的，因为它们依赖于实现细节(如深度防御措施和事件响应措施)。在整个厂商领域，我们看到越来越多的人认识到风险在安全决策中扮演着越来越重要的角色，我们预计这一趋势将在2022年继续。

市场概述

应用程序安全测试市场继续快速增长和发展，很大程度上遵循了去年《魔力象限》中概述的路线。在高水平上，可以观察到三个趋势:

持续快速增长和日益复杂的竞争
所需的检测范围的扩大
强调将许多应用程序安全功能直接转移到开发和运营团队的手中

增长和复杂性:

一项市场内最终用户支出的分析显示，2021年终端用户支出将达到26亿美元，同比增长20%。增长率超出了预期，反映出强劲的潜在需求。从地理上看，北美市场的规模有所增长，但其整体市场份额从73%下降至68%，而欧洲和英国(17%)以及亚太地区(12%)的市场份额有所增长。

市场驱动因素集中在不断增加的监管和合规要求，以及对软件相关的风险的日益认识。各种引人注目的软件供应链攻击凸显了这些风险，并且至少在美国促使监管行动，将继续推动整体应用程序安全需求。基于这些驱动因素，我们预计到2022年，全球应用安全测试市场最终用户的支出将超过31亿美元。

市场继续看到传统参与者和新玩家之间日益激烈的竞争。如开发基础设施厂商，包括GitHub、GitLab、 Jfrog和Sonatype。云安全厂商继续表现出一些重叠和竞争，特别是在容器安全和IaC扫描等领域。日益激烈的竞争导致一些供应商简化和降低价格，并扩大其产品范围，以提供更适合客户需求的产品。这包括自然增长，以及通过收购增加功能。例如，Checkmarx收购Dustico；Rapid7收购Alcide；Snyk 收购FossID、CloudSkiff和Fugue；Sonatype收购MuseDev；以及Synopsys收购Code Dx。

扩大范围:

变化的应用程序架构和新技术，这两者都给组织的软件组合带来了复杂性和多样性，需要新的应用安全测试方法和类型。被认为是小众或不经常应用的测试方法，如IaC扫描，已经变得越来越主流。厂商继续围绕更传统的测试方法进行创新。

魔力象限右侧空白区域的增加反映了供应商继续创新的需要，即使是在成熟的细分市场。例如静态分析显示了高渗透率，但厂商已经引入了新的方法来努力提高速度和准确性。长期以来，动态测试一直是Web应用程序测试的标准，作为一种测试API的手段，它正迎来新的生命和发展。SCA已经开始整合一些警告供应链攻击相关的操作风险的特性。

以开发人员为中心的应用程序安全：

尽管组织仍然处于应用安全测试“左移”的不同阶段，但是实现该愿景所需的底层开发人员支持和自动化/集成特性已经成为购买者必不可少的、普遍存在的需求。尽管执行的质量可能相差很大，但是魔力象限中的所有供应商都已经向市场交付了这些功能，并且支持以开发人员为中心的应用程序安全方法。

除了提高灵活性、易用性和速度等典型需求之外，在应用程序安全编排和管理功能等领域出现差异，并增加了更多的云原生应用程序安全和保护特性。这些有助于管理增加的测试复杂性，简化在应用程序安全程序中包含的第三方和开源测试工具，并有助于对发现结果进行优先级和分类。

应用程序安全设计和测试任务的实际责任正在转移到开发和工程团队。Gartner的研究显示，超过一半的软件工程领导直接负责应用程序安全，另有三分之一分担责任。尽管发生了全面的转变，传统的应用程序安全团队仍然高度相关。我们看到这些小组的角色逐渐转向策略设置和执行(例如，关于可接受的风险级别)，以及监督和报告组织的整体应用安全程序。这种转变将推动其自身的创新，从风险角度简化组织管理应用安全的能力。

（完）