Gartner 2022 应用安全测试魔力象限

《Gartner2022应用安全测试魔力象限》报告，由DaleGardner、MarkHorvath及DionisioZumerle三名作者共同撰写，完成时间：2022年3月24日。

1 2022AST魔力象限权威发布

2022年04月28日，Gartner高德纳公司（英语：Gartner，NYSE：IT），又译：顾能公司，是全球最具权威的IT研究与顾问咨询公司，发布了2022《Magic Quadrant for Application Security Testing》年度报告，即Gartner 2022应用程序安全测试魔力象限，此处进行一些解读，以帮助大家更好了解应用安全测试市场状况和发展趋势。

在IT领域，由于Gartner魔力象限图对IT行业的研究和解读颇具专业性，因此也受到业内高度认可。魔力象限是Gartner对行业中的供应商进行对比评估的一个工具，它主要通过一套标准的方法，生成魔力象限图（包含4个象限：领导者、挑战者、有远见者和特定领域者）和相应的分析报告，企业客户可以根据魔力象限的可视化结果，考虑选择或投资某个技术供应商。

作为业内的权威报告，Gartner应用程序安全测试魔力象限已经成为应用程序安全测试技术领域和软件安全行业的风向标，广受供应商和用户的关注。

2 2022 AST魔力象限最新变化
相比去年，2022年，Gartner应用程序安全测试魔力象限主要呈现以下几点变化：
2.1 供应商数量保持不变
进入Gartner 2022应用程序安全测试魔力象限的供应商名称和数量，和去年保持一致，均为14家，分别是：Synopsys、Checkmarx、Veracode、Micro Focus、HCL Software、Snyk、Invicti、GitLab、Rapid7、Data Theorem、Contrast Security、GitHub、NTT Application Security、Onapsis。

魔力象限的纵轴：为供应商的“执行力”(Ability to Execute)，用于评估供应商将其愿景变成市场现实的能力，评估维度包含产品或服务的竞争力及成功度、供应商整体生存能力、销售执行力与定价、市场状况、客户体验以及供应商的整体运营，其实质是揭示供应商在市场的成功度。

魔力象限的横轴：为供应商的“前瞻性”(Completeness of Vision)，评估维度包含供应商的市场理解、市场战略、产品战略、营销战略、商业模式、产品创新、行业战略及地域战略，其实质是解释供应商在行业内的领先度。最终，结合供应商的执行力和前瞻性评估，Gartner将供应商划分到领导者、挑战者、有远见者和特定领域者四个象限。

2.2 领导者象限竞争激烈
此处重点提及行业风向标以及榜单前三甲，它们分别为：Synopsys、Checkmarx和Veracode。其中，领头羊Synopsys为一枝独秀，发展迅猛，遥遥领先，仍然领跑第一集团，相比2021年，其优势继续提升，与第二名差距逐渐拉大。Checkmarx在执行力和前瞻性方面均有大幅度提高，而企业产品前景仍超越Veracode一大截，近乎接近Synopsys。而Veracode则滑落至榜单第三名，相比去年，出现小幅度下滑。Micro Focus与Checkmarx则不相伯仲，相比去年，其变化幅度并不明显。值得一提的是，去年从有远见者象限一举跃升至领导者象限的HCL Software，2022年，在前瞻性方面，也出现一定的提升。这表明，近几年在应用程序安全测试领域，头部竞争大格局逐渐趋于稳定，一时间鲜有新的供应商崭露头角，或者有黑马异军突起。
3 2022供应商融资并购新动向
Gartner 2022应用程序安全测试魔力象限的供应商，大多数都有发起投融资&并购情况，此处重点收录、整理和罗列2021至2022年度出现并购行为的安全供应商，总共包含7家，分别是：Synopsys、Checkmarx、Snyk、GitLab、Rapid7、Contrast Security和NTT Application Security。
3.1 领导者象限
3.1.1 Synopsys
 2022年4月，Synopsys宣布从NTT收购领先的应用安全软件即服务(SaaS)提供商NTT Application Security （2021年，称之为WhiteHat Security）
 2022年4月，Synopsys宣布与Juniper Networks合作投资新公司，共同开拓硅光子市场
 2021年11月，Synopsys收购Concertio，将实时现场优化技术融入其芯片生命周期管理解决方案。
 2021年9月，Synopsys收购BISTel半导体和平板显示解决方案供应商。
 2021年6月，Synopsys收购CodeDx。CodeDx是一家屡获殊荣的应用安全风险管理解决方案提供商，可自动识别软件漏洞、更早发现漏洞，并进行优先排序和修复。
 2021年5月，Synopsys收购MorethanIP，进一步扩展DesignWare以太网IP产品组合。
 2022年4月，Synopsys宣布与Juniper Networks合作投资新公司，共同开拓硅光子市场

3.1.2 Checkmarx
 2021年9月，Checkmarx收购Dustico。通过此次收购，Checkmarx将其AST能力与Dustico的行为分析技术相结合，可检测出开源软件中的恶意攻击和后门供应链。
3.2 挑战者象限
3.2.1 Snyk
2021年9月，Snyk获得了Tiger、BlackRock、Temasek以及Accel的F轮融资，不到一个月内，Salesforce和Atlassian又追加了7500万美金，F轮融资金额超过6亿美金，总共筹集了14亿美元的资金。据悉，该项融资也是2021年度最大的安全交易之一。

 2022年3月，Snyk收购TopCoatData，将在Snyk开发者安全平台中，提供关键的核心报告和分析功能。
 2022年2月，Snyk宣布收购云安全与合规公司Fugue，踏足云安全领域。
 2021年10月， Snyk收购CloudSkiff。同年5月，收购瑞典创业公司FossID，以扩大其开源软件源码的安全检测力度。
 2021年1月，Snyk收购Manifold.co。
3.2.2 GitLab
 2021年12月，GitLab收购Opstrace，用以扩展其DevOps平台，抢占集成DevOps工具市场更大份额。
 2021年06月，GitLab收购UnReview，以帮助自动选择代码审查人员。
3.3 有远见者象限
3.3.1 Rapid7
 2021年7月，Rapid7以3.35亿美元价格，收购威胁情报和补救初创公司IntSights Cyber Intelligence
 2021年4月，Rapid7收购开源网络安全平台Velociraptor背后的公司Velocidex Enterprises Pty. Ltd.，以加强端点监控，数字取证和事件响应。同年2月，Rapid7以5000万美元收购了Kubernetes安全初创公司Alcide.IO Ltd.
3.3.2 Contrast Security
2021年11月9日，Contrast Security获得了AXA Venture Partners、Acero Capital、Warburg Pincus以及General Catalyst的E轮融资，总共获得了2.69亿美元的资金。

2021年1月，Contrast Security收购CloudEssence，以扩展其云原生测试能力。
3.4 特定领域者象限
3.4.1 NTT Application Security
此处值得一提的是，2022年4月27日，Synopsys宣布收购从NTT收购领先的应用安全软件即服务(SaaS)提供商WhiteHat Security，以提供重要的SaaS功能和市场领先的动态应用程序安全测试(DAST)技术。

4 2022供应商象限归属与位置变化
2022供应商象限归属与位置变化：有进有出，整体呈现执行力上升，前瞻性有待提升的趋势。具体情况，可参考2021-2022 Gartner魔力象限对比图，以下就4个象限中发生重大变化的供应商，分别做进一步说明：

4.1 领导者象限
领导者象限，2022年，供应商数量没有变化，保持5家不变，但排位顺序有所变化，依次包括Synopsys、Checkmarx、Veracode、Micro Focus和HCL Software。
4.1.1 关于领军供应商Synopsys在执行力和前瞻性持续上升的说明：
据Gartner分析报告指出，Synopsys的AST产品组合是业内最广泛的产品组合之一，涵盖SAST、DAST、IAST、SCA、IaC扫描、容器检查、模糊测试和API测试等。此外，除了拥有庞大的销售团队，Synopsys还投资建立全球多语言支持团队，以支持公司在北美、亚太和欧洲市场的支持。过去一年，Synopsys陆续推出了新产品和新举措，以助力构建可信软件，带动业务增长，包括：

 2022年4月，宣布收购从NTT收购领先的应用安全软件即服务(SaaS)提供商WhiteHat Security，以提供重要的SaaS功能和市场领先的动态应用程序安全测试(DAST)技术。

 2022年2月，全面推出CodeSight标准版，这是适用于集成开发环境(IDE)的CodeSight插件的独立版本，使开发人员在提交代码前就能够快速查找和修复源代码、开源依赖项、基础架构即代码等文件中的安全缺陷。
 2021年10月，增强了其BlackDuck SCA解决方案，以满足客户在软件供应链安全方面的新兴需求。

 2021年7月，宣布在其Coverity静态应用安全测试(SAST)及BlackDuck软件成分分析(SCA)中新添RapidScan快速扫描功能。

 2021年6月，收购了CodeDx。CodeDx是一家屡获殊荣的应用安全风险管理解决方案提供商，可自动识别软件漏洞、更早发现漏洞，并进行优先排序和修复。收购CodeDx后，Synopsys可以凭借自身解决方案及超过75种第三方和开源应用安全与开发产品生成关联的软件漏洞数据，为客户提供综合风险报告和优先级排序。
4.1.2 关于供应商Checkmarx表现突出的说明：
Checkmarx成立于2006年，是应用安全测试中为数不多的非欧美的国家产品（以色列的一家高科技软件公司，但主要的控股财团还是美国公司），同时也是世界上最著名的源代码安全扫描软件Checkmarx CxSuite的生产商。

Checkmarx 可提供静态和交互式应用程序安全测试（SAST和IAST）、软件成分分析（SCA）、基础设施即代码安全测试（KICS）以及应用程序安全和培训开发（Codebashing）服务。作为 DevOps 流程的一部分，Checkmarx 软件安全平台以开发人员为中心，可提供持在SaaS模型中使用其所有安全测试工具（DAST工具除外），在自动安全扫描方面处于业界领先地位。

Checkmarx投资者包括Salesforce、私募股权和风险投资公司Insight Partners和Hellman & Friedman等，通过一系列投融资并购活动，Checkmarx迅速整合各类地区渠道资源，并扩张全球软件安全市场，其2022年发展势头不容小觑。

Checkmarx并购历史：

 2021年8月，Checkmarx 收购了Dustico，该软件可检测软件供应链中的后门和恶意攻击。
 2018 年，Checkmarx 收购了Custodela，该公司可提供软件安全程序开发和咨询服务。
 2017 年，Checkmarx 收购了应用安全培训公司 Codebashing。

4.2 挑战者象限
2022年，入选挑战者象限的供应商有3家，分别是Snyk、Invicti和GitLab 。其中，值得一提的是Snyk，从2021年的有远见者象限上升为2022年的挑战者象限；另外一家供应商Invicti Security，在2021年10月获得投资公司Summit Partners 6.25亿美元注资之后，表现不俗，由2021年的特定领域者象限跳升至现在的挑战者象限，在市场执行力和前瞻性方面，均表现优异。GitLab则继续坐稳挑战者象限，在市场执行力方面，也有小幅度提升。

4.2.1 关于Snyk成为挑战者的相关说明：
Snyk成立于2015年，总部位于英国伦敦，通过调用其内部庞大的数据库，来检查开放源码内部的安全漏洞，如今，Snyk 已可通过与各大源码平台集成实现 CI／CD 流程，并支持数十种程序语言，包含 Java、JavaScript、Golang、Python、Ruby 和 Scala 等。

2021年3月，Snyk宣布完成E轮融资，总额达3亿美元，此举扩大了其领导团队，为全球企业提供先进的安全保障。同年9月，Snyk获得了来自Tiger、BlackRock、Temasek以及Accel的F轮融资，不到一个月内，Salesforce和Atlassian又追加了7500万美金，其F轮融资金额超过6亿美金，总共筹集了14亿美元的资金。据悉，该项融资也是2021年度最大的安全交易之一。

Snyk并购历史：

 2022年3月，Snyk收购TopCoatData，将在Snyk开发者安全平台中，提供关键的核心报告和分析功能。
 2022年2月，Snyk宣布收购云安全与合规公司Fugue，开始踏足云安全领域，扩展了其云安全功能。
 2021年10月，Snyk收购CloudSkiff，开始全力扩大云计算安全服务力度。同年5月，收购瑞典创业公司FossID，通过这次收购，Snyk网罗了高达 630 万名 C/C++ 工程师，让他们利用 FossID 提供的分析深度，来集成 Snyk 广为人知的开发运用经验，以扩大其开源软件源码的安全检测力

4.2.2 关于Invicti成为挑战者的相关说明：
Invicti成立于2018年，总部位于美国奥斯汀（得克萨斯州首府），在马耳他和土耳其设有办事处，是一家提供网络应用安全解决方案、网络和数据管理安全服务的供应商。其中，2021年10月，Invicti Security 宣布完成 6.25 亿美元融资。另外，Invicti Security旗下包含两款明星产品：Acunetix 和 Netsparker，分别专注于IAST和DAST。不过其产品没有对SAST、容器扫描、IaC扫描、移动或关键业务应用程序评估功能的原生支持。目前，Invicti已为全球3,100 多家客户提供安全测试服务，迄今为止已扫描了 800,000 多个网站。

此外，Invicti可提供自己的 SCA 产品，并将其与 SAST 和 DAST 工具相结合，可支持为企业所有应用程序创建SBOM。过去一年里，这项功能需求一直是Gartner客户经常关注的问题，而Invicti则是为数不多的可提供此功能的AST供应商之一。

4.3 有远见者象限
2022年，入选有远见者象限的供应商有3家，分别是Rapid7、Data Theorem 和Contrast Security。其中，Contrast Security由2021年的挑战者滑落为2022年的有远见者，表面其对市场的理解和前瞻性方面有待提升和加强；而另外两家供应商Rapid7和Data Theorem，相比2021年，排位保持不变，依然落在有远见者象限。

4.3.1 关于Contrast Security滑落到有远见者象限的情况说明：
Contrast Security成立于2014年，总部位于美国加州，同时在欧洲、中东和非洲（EMEA）、亚洲以及太平洋（APAC）地区设有办事处，是一家专门提供企业应用程序安全测试服务的供应商。最近，Contrast 新增了 SAST 功能，添加了对云原生应用程序的AST支持，例如：Amazon Web Services （AWS） Lambda 上的无服务器函数，除此之外，Contrast也支持通过添加SBOM，改进了其SCA功能。

据Gartner及其客户反馈，Contrast Security提供了业内最广泛的IAST语言覆盖范围之一，包括：Java、.NET Framework、.NET Core、Node.js、Ruby、Python和Golang等。

除了自身产品的优秀表现之外，Contrast Security还收购了CloudEssence以扩展其云原生测试能力，并与NowSecure合作进行移动AST。据Gartner 分析报告指出，Contrast Security非常适用于以开发人员为中心的自动化、持续进行安全测试且开销较低的组织。
4.4 特定领域者象限

2022年，入选有特定领域者象限的供应商有3家，分别是GitHub、NTT Application Security和Onapsis。其中，NTT Application Security变化最大，由2021年的挑战者滑落为2022年的特定领域者，其于2021年变更公司名称（原为Whitehat Security），2022年4月27日，更是被Synopsys所收购，成为2022年度安全行业重磅新闻之一。而另外两家供应商GitHub和Onapsis，依然处于特定领域者象限。

4.4.1 关于NTT Application Security滑落为特定领域者的具体情况：
NTT Application Security，（之前被称之为WhiteHat Security）, 成立于1988年，是一家老牌安全供应商。2021年7月，WhiteHat Security 正式对外宣布，更名为 NTT Application Security。从此以后，WhiteHat Security公司是NTT Security的一个独立的全资子公司，总部位于加利福尼亚州圣何塞，在美国和欧洲设有区域办事处。

据Gartner报告指出，尽管WhiteHat获得了全球NTT销售渠道，但其大多数销售仍然停留在北美。该公司在过去一年中，增长速度比整个AST市场都要来得慢。其次，NTT Security在客户候选名单上的出现率也有所下降，在查询过程中被提及的频率也比过去低。在很大程度上，原因是由于公司品牌从WhiteHat Security 过渡到 NTT Application Security所造成的品牌变更。这种变化经常在潜在客户中造成混淆，这值得引起重视。

另外，据Gartner报告反馈，NTT Application Security依赖于 OEM 技术关系，以提供其产品元素。比如说，与Now Secure for Mobile AST保持着长期的合作关系。新的Vantage Inspect产品，则完全依赖于ShiftLeft的扫描引擎进行SAST、SCA和IaC测试。在这两种情况下，如果这种OEM依赖关系，双方在某个关键节点出现动摇，随时都有可能引起冲突，从而导致客户环境中的运营业务中断。

补充一点，2022年4月27日，新思科技(Synopsys, Nasdaq: SNPS)近日宣布已签署最终协议，将收购应用安全软件即服务 (SaaS) 提供商 WhiteHat Security（2019年5月，NTT Ltd 宣布收购 WhiteHat Security），以进一步增强其广泛的应用安全测试组合产品。
5 2022魔力象限供应商均属国外
2022年，入选Gartner AST魔力象限的供应商，全都是来自国外。这些国外厂商，均有一个共同特点，就是专注IAST、SAST、SCA、DAST、RASP、FUZZ的一个或几个领域，且十分注重适应云原生、DevOps或DevSecOps的发展。同时，企业支持实施DevSecOps和云原生应用计划的需求，是驱动应用安全测试（AST）市场变革的主要推动因素。

另外，Gartner 2022报告观察到，一方面，客户需要能够提供高可靠、高质量、高附加值的产品，同时又不会拖慢开发工作；另一方面，客户希望产品能够更早地融入开发过程，且测试工作流程通常是由开发人员而不是安全专家驱动。

因此，在软件交付工作流程中，当涉及到以越来越自动化的方式，来支持集成快速和准确的测试时，这种市场评估会更加侧重于买方的需求。

6 国内市场或将迎来井喷式发展
通过对 Gartner 2022 AST 魔力象限的解读，可以看出，进入应用安全领域的玩家变多，市场变热，安全厂商投融资并购活动异常活跃。大家都开始对“安全左移”达成共识，同时也越发关注API测试、应用程序安全编排和关联（ASOC）、容器安全、模糊测试、基础架构即代码（IaC）以及移动AST测试（MAST）等技术。

Gartner 2022 应用安全测试魔力象限相关推荐

Gartner2022应用安全测试魔力象限
<Gartner2022应用安全测试魔力象限>报告,由DaleGardner.MarkHorvath及DionisioZumerle三名作者共同撰写,完成时间:2022年3月24日. 1 ...
每日新闻 | Gartner分析和商业智能平台魔力象限公布，阿里云Quick BI入选
| IDC:2020金融行业将在云.大数据.AI研发投入更多 IDC于近日发布<IDC FutureScape:2020年全球金融行业十大预测--中国启示>,报告包括:到2021年,中国3 ...
《Gartner 2018 BI与数据分析魔力象限》报告解读
Gartner BI与数据分析魔力象限是大数据技术领域最具影响力的分析报告之一,作为一名有着20年从业经验的大数据行业人员,每年研读报告中的技术与商业趋势已经成为一种职业习惯. 我本人以及公司都从中受 ...
C.H. Robinson罗宾逊全球物流在Gartner实时交通可视化平台魔力象限报告中被评为“挑战者”
此评价基于Navisphere Vision的前瞻性和执行力明尼苏达州伊登普雷里--(美国商业资讯)--全球物流公司C.H. Robinson罗宾逊全球物流宣布,该公司在新的Gartner实时交通可 ...
Nutanix 连续四年荣获 Gartner 超融合基础架构魔力象限领导者称号
Nutanix凭借其超融合基础架构能力而获此殊荣, 其中执行力单项得分位列所有供应商之首私有云.混合云和多云计算领导者Nutanix今日宣布,Gartner 将 Nutanix 评为2020年12月 ...
Elastic 在 2021 年度《Gartner 应用程序性能监测魔力象限》中被评为有远见者
作者 Asawari Samant 我们非常高兴地宣布,Elastic 在 2021 年度<Gartner 应用程序性能监测魔力象限>中被评为有远见者.我们对进入"有远见者&qu ...
微软在2022年Gartner云计算AI开发者服务魔力象限中被评为“领导者”
在2022 Gartner® Magic Quadrant™ 云计算AI开发者服务上,微软的服务获得了Gartner的认可,在"愿景完善度"坐标轴上处于最远端. 根据Gartner ...
2022 Gartner全球云数据库管理系统魔力象限发布腾讯云数据库入选
12月16日,在刚刚发布的 Gartner® 2022年度<云数据库管理系统魔力象限>研究报告中,腾讯云数据库进入特定领域者(Niche Players)象限.同时据Gartner云数据库 ...
Gartner发布5G网络基础设施魔力象限报告
昨天,国际权威分析机构Gartner发布了首份<通信运营商5G网络基础设施魔力象限>报告. Gartner通信运营商5G网络基础设施魔力象限该魔力象限帮助通信服务提供商识别和评估其5G网 ...

Gartner 2022 应用安全测试魔力象限

Gartner 2022 应用安全测试魔力象限相关推荐

最新文章

热门文章