2021年5月27日,全球最具权威的IT研究与顾问咨询公司Gartner发布2021年版《Magic Quadrant for Application Security Testing》,即Gartner 2021年应用程序安全测试魔力象限,简称Gartner 2021 AST魔力象限。
该魔力象限是Gartner对应用程序安全测试技术领域供应商评估比较的一个总结报告,通过其标准的方法,生成魔力象限图(包括领导者、挑战者、远见者、特定领域者4个象限)和相应的分析报告,企业客户可以根据魔力象限的可视化结果,考虑选择或投资某个技术供应商。
作为业内的权威报告,该魔力象限已经成为应用程序安全测试技术领域和软件安全行业的风向标,广受供应商和用户的关注。
一、2021 AST魔力象限最新变化
魔力象限的纵轴为供应商的“执行力”(Ability to Execute),用于评估供应商将其愿景变成市场现实的能力,评估维度包含产品或服务的竞争力及成功度、供应商整体生存能力、销售执行力与定价、市场状况、客户体验以及供应商的整体运营,其实质是揭示供应商在市场的成功度。
魔力象限的横轴为供应商的“前瞻性”(Completeness of Vision),评估维度包含供应商的市场理解、市场战略、产品战略、营销战略、产品创新、行业战略及地域战略,其实质是解释供应商在行业内的领先度。最终,结合供应商的执行力和前瞻性评估,Gartner将供应商划分到领导者、挑战者、有远见者和特定领域者四个象限。
相较于2020年,Gartner 2021 AST魔力象限呈现以下几个变化:
1、供应商数量增多。
进入Gartner 2021 AST 魔力象限的供应商,由2020年的11家增加为现在的14家。新进入Snyk、Data Theorem、Invicti、GitHub 4家供应商,而CAST掉出象限。
⑴新进入象限的供应商:
• Snyk,成立于2015年,英国知名SCA供应商。其AST产品包括SCA with Snyk Open Source和Snyk Container,以及SAST with Snyk Code和Snyk Infrastructure as Code。该供应商适合需以开发人员为中心的SCA和SAST解决方案,并且可以扫描应用程序代码和IaC的组织。
• Data Theorem,成立于2013年,是美国一家现代应用程序安全领域的领先提供商,其核心使命是随时随地分析和保护任何现代应用程序。该供应商提供API、IaC测试和移动应用程序测试,它通过围绕云原生开发、API 和单页应用程序 (SPA) 安全性的核心能力来处理云原生和容器化应用程序,比较适合专注于这些应用程序的组织。
• Invicti,成立于2018年,是美国一家提供网络应用安全解决方案、网络和数据管理安全服务的信息技术供应商。Invicti以两个知名品牌Acunetix和Netsparker销售产品,其产品比较适合高度重视DAST的组织,不过其产品没有对SAST、容器扫描、IaC扫描、移动或关键业务应用程序评估功能的原生支持。2020年,Invicti Netsparker呈指数增长,在不到3年的时间里,该供应商赢得了350多个企业客户,这表明更好、更安全的网络是可能的。
• GitHub,成立于2008年,是全球最大社交编程及代码托管网站提供商。2018年,微软通过75亿美元的股票交易收购GitHub。GitHub在开发基础设施中的地位是为用户提供紧密集成和易用性,其主要的重点是SAST和SCA,GitHub的代码扫描和更完整的SCA功能,作为高级安全产品的一部分提供给商业GitHub Enterprise用户,由用户定价。2020年,GitHub提供了一个新的AST方法示例,其中测试工具是底层开发环境的一部分。
⑵掉出象限的供应商
• CAST,成立于1990年,美国专注于软件分析和测量领域的供应商,该供应商将基于事实的透明度引入到应用程序开发,维护和采购中,以将其转化为管理学科。2018年,CAST获得1250万美元的战略融资,其主要提供一种自动捕获和量化业务应用程序的可靠性,安全性,复杂性和规模的方法。在Gartner 2020 AST魔力象限报告中,Gartner曾指出,客户认为CAST是一个应用程序质量测试解决方案提供商,而不是应用程序安全供应商。该供应商不提供SCA作为其主要SAST产品AIP的一部分,而只提供CAST Highlight。同时,CAST的SAST解决方案缺少关键的软件开发生命周期(SDLC)集成功能等。这或许能够解释为什么CAST没能进入 Gartner 2021 AST魔力象限。
2、供应商的投融资活动比较活跃。
⑴领导者象限中,Synopsys 2020年收购Tinfoil Security,为Synopsys套件增加重要的API测试功能。2021年6月,Checkmarx获得私募股权公司Hellman&Friedman一项金额高达11.5亿美元的注资。据Checkmarx介绍,该项注资代表了应用安全市场上有史以来最大的交易,也是2020年度最大的安全交易之一。
⑵挑战者象限中,以被动IAST闻名的Contrast Security收购了CloudEssence以扩展其云原生测试能力,并与NowSecure合作进行移动AST。该供应商还扩展了语言覆盖范围,使其TeamServer可以托管在容器中,并引入了漏洞优先级。另一家供应商GitLab收购了Peach Tech的仪器和Fuzzit的碰撞分析技术。并与IBM合作,在IBM Cloud Paks中提供GitLab Ultimate。
⑶远见者象限中,代码安全独角兽Snyk2020年获2亿美元D轮融资,估值超过26亿美元,同时Snyk收购了SAST提供商Deepcode.ai,该提供商提供基于ML的解释代码扫描。2021年3月,Snyk完成E轮融资,总额达3亿美元,并扩大了其领导团队,为全球企业提供先进的安全保障。该交易包括一级和二级发行,并导致1.75亿美元的新资本进入该业务。另一家在DAST方面享有盛誉的企业Rapid7,于2020年4月宣布以1.45亿美元的总价收购云安全态势管理(CSPM)的领导者Divvy Cloud Corporation。2021年2月,Rapid7完成对位于以色列特拉维夫的Kubernetes 安全领域领导者Alcide的收购。
⑷在特定领域者象限,2020年,监管科技初创公司Onapsis在D轮融资5500万美元,该供应商利用这笔资金通过快速扩展到关键任务SaaS应用程序市场来扩展规模,首先是Salesforce和SuccessFactors应用程序的保护和合规性。Onapsis于2009年在美国波士顿成立,专门为企业提供解决ERP潜在威胁的安全服务方案。
极牛网精选文章《Gartner 2021 AST魔力象限最新出炉 看今年有什么变化?》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15516.html