Magic Quadrant for Application Security Testing 2023
Gartner 魔力象限:应用程序安全测试 2023
请访问原文链接:https://sysin.org/blog/gartner-magic-quadrant-ast-2023/,查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
Gartner 魔力象限:应用程序安全测试 2023
Magic Quadrant for Application Security Testing
发布于 2023 年 5 月 17 日
魔力象限
现代应用程序设计、向云的转变以及 DevSecOps 的加速采用正在扩大 AST 市场的范围。通过在软件生命周期中集成和自动化 AST,安全和风险管理领导者可以满足更紧迫的期限并测试更复杂的应用程序。
市场定义/描述:
本文档于 2023 年 5 月 19 日修订。有关详细信息,请参阅 gartner.com 上的更正页面。
Gartner 对市场的看法侧重于满足最终用户未来需求的转型技术或方法。它不像今天那样专注于市场。
Gartner 将应用程序安全测试 (AST) 市场定义为旨在分析和测试应用程序安全漏洞的产品和服务的买卖双方。这个市场是高度动态的,并继续经历快速发展以响应不断变化的 应用程序架构和支持技术。
在此分析和供应商评估中,我们继续更加关注新兴技术和方法,以及满足 它们带来的新要求的 AST 工具。总体而言,市场包括提供核心测试功能的工具——例如,静态、动态和交互式测试; 软件组成分析(SCA); 以及各种可选的专门功能。
AST 工具 既可以作为基于软件即服务 (SaaS) 的订阅产品提供,也可以较少地作为本地软件提供。许多供应商都提供这两种选择 。核心功能提供基础测试功能,大多数组织使用一种或多种类型,其中 包括 :
- 静态 AST (SAST): 分析应用程序的源代码、字节码或二进制代码是否存在安全漏洞,通常 编程和/或测试阶段。是在软件开发生命周期 (SDLC) 的
- 软件组成分析 (SCA): 用于识别应用程序中使用的开源组件和商业组件,频率低得多。由此,可以识别已知的安全漏洞、潜在的许可问题和操作风险。
可选功能提供更专业的测试形式,通常根据组织的应用程序组合或应用程序安全程序成熟度补充核心功能。他们包括:
-
API 测试: API 已成为现代应用程序(例如,单页或移动应用程序)的重要组成部分,但传统的 AST 工具集 可能无法对其进行全面测试,因此需要专门的工具和功能。典型功能包括在开发和生产环境中发现 API 和测试 API 源代码的能力,以及摄取记录的流量或 API 定义以支持测试正在运行的 API 的能力。
-
应用程序安全态势管理 (ASPM): ASPM 通过从开发到部署的整个 SDLC 安全问题的检测、关联和优先级排序,持续管理应用程序风险。他们从多个来源获取数据,然后关联并分析他们的发现,以便更轻松地进行解释、分类和补救。它们充当安全工具的管理和编排层,支持控制和安全策略的实施。通过提供应用程序安全调查结果的综合视角,ASPM 工具有助于管理和补救个别调查结果,同时提供整个应用程序或系统的安全和风险状态的综合视图。
-
容器安全: 容器安全扫描检查容器镜像,或在部署之前完全实例化的容器,以查找安全问题。容器安全工具专注于各种任务,包括配置加固和漏洞评估任务。工具还会扫描是否存在秘密,例如硬编码凭据或身份验证密钥。容器安全扫描工具可以作为应用程序部署过程的一部分运行,或者与容器存储库集成,因此可以在存储图像以供将来使用时执行安全评估。
-
开发人员支持: 开发人员支持工具和功能支持开发人员和工程团队成员努力创建安全代码。这些工具主要侧重于安全培训和漏洞补救指导,既可以独立使用,也可以集成到开发环境中。
-
动态 AST (DAST): DAST 在测试和操作阶段分析处于运行(即动态)状态的应用程序。DAST 模拟针对应用程序(通常是启用 Web 的应用程序,但也越来越多的应用程序编程接口 [API])的攻击,分析应用程序的反应并确定它是否易受攻击。
-
模糊测试: 模糊测试依赖于向程序提供随机的、格式错误的或意外的输入来识别潜在的安全漏洞——例如,应用程序崩溃或异常行为、内存泄漏或缓冲区溢出,或使程序处于不确定状态的其他结果。模糊测试,有时称为 非确定性 测试,可用于大多数类型的程序,尽管它对依赖大量输入处理的系统(例如,Web 应用程序和服务、API)特别有用。
-
基础设施即代码 (IaC) 测试: Gartner 将 IaC 定义为软件定义计算 (SDC)、网络和存储基础设施作为源代码的创建、供应和配置。IaC 安全测试工具有助于确保符合通用配置强化标准、识别与特定操作环境相关的安全问题、定位嵌入式机密,并执行支持特定组织标准和合规性要求的其他测试。
-
交互式 AST (IAST): IAST 工具启动并装备正在运行的应用程序(例如,通过 Java 虚拟机 [JVM] 或 .NET 公共语言运行时 [CLR])并检查其操作以识别漏洞。大多数 IAST 实施被认为是被动的,因为它们依赖于其他应用程序测试来创建 IAST 工具随后评估的活动。
-
移动 AST (MAST): 这解决了与测试移动应用程序相关的特殊要求,例如那些在使用 iOS、Android 或其他操作系统的设备上运行的应用程序。这些工具通常使用经过优化的传统测试方法(例如 SAST 和 DAST),以支持通常用于开发移动和/或物联网 (IoT) 应用程序的语言和框架。他们还测试这些环境特有的漏洞和安全问题。
-
软件供应链安全 (SSCS):
旨在识别和管理与软件供应链相关的风险的功能。它们可能包括:
- 主动分析来自外部来源(开源或商业)的软件,以识别可能带来不可接受风险的组件(例如,维护不善的项目、安全控制不充分、存在恶意软件或恶意代码等) 。
- 创建和管理工件,使软件用户能够评估组织生产的软件的安全性(例如软件物料清单 [SBOM] 或应用程序安全证明)。
- 的完整性,以防止对开发过程的直接攻击。确保源代码和其他开发 或部署工件以及用于生成它们的底层系统
Gartner 观察到,AST 市场的发展在很大程度上是由支持企业 DevSecOps 和云原生应用程序计划的需求推动的。客户需要的产品能够提供高可靠性、高价值的发现,同时不会不必要地减慢开发工作。客户希望产品能够在早期阶段融入开发流程,测试通常由开发人员而非安全专家推动。因此,该市场评估重点关注买方的需求,包括支持对各种应用程序类型进行快速准确的测试,以及集成到自动化水平不断提高的软件交付工作流中的能力。
领导者(Leaders):
- Synopsys
- Checkmarx
- Veracode
- OpenText(原 Micro Focus)
挑战者(Challengers):见图
有远见者(Visionaries):见图
特定领域者(Niche Players):见图
查看完整报告(限期公开):https://sysin.org/blog/gartner-magic-quadrant-ast-2023/
如何选择
在特定市场内定位技术参与者。
主要技术市场上有哪些竞争参与者?他们如何为您提供长期帮助?Gartner 魔力象限是对特定市场的巅峰研究,可帮您广泛了解市场竞争对手的相对位置 (sysin)。利用图示法和一系列统一的评估标准,魔力象限可帮助您快速确定技术提供商执行其既定愿景的情况,并参照 Gartner 的市场观点了解其表现。
如何使用 Gartner 魔力象限?
面对特定投资机会考虑技术提供商时,请借助 Gartner 魔力象限迈出第一步。
请记住,专注于领导者象限不一定是最好的行动方案。有充分的理由考虑市场挑战者。特定领域者可能比市场领导者更能满足您的需求。这完全取决于提供商如何与您的业务目标保持一致。
Gartner 魔力象限如何发挥作用?
面对快速增长和提供商差异化明显的众多市场,Gartner 魔力象限用图形化方法划分出四类提供商:
- 领导者很好地执行了当前愿景 (sysin),并为未来做好了充分准备
- 有远见者了解市场发展方向,或者有改变市场规则的设想,但执行效果不尽如人意。
- 特定领域者成功专注于一个小的细分市场,或者目标不明确,创新和表现未能超越竞争对手。
- 挑战者当前表现很好,或者可能在大部分细分市场占据主导地位,但未表现出对市场方向的了解。
试用领导者产品
领导者(Leaders):
- Synopsys (SAST、DAST、SCA & IAST):暂无
- Checkmarx (SAST):Checkmarx SAST 9.5 for Windows - 源代码扫描 (静态应用安全测试)
- Veracode (SAST、DAST、SCA & IAST):暂无
- OpenText (SAST、DAST、SCA):Fortify Static Code Analyzer 22.2.2 for macOS, Linux & Windows - 静态应用安全测试 【OpenText 于 2023 年 1 月收购了 Micro Focus】
- Snyk(新上榜):暂无
挑战者(Challengers):
- HCL Software (SAST, DAST, IAST, and SCA):HCL AppScan Standard v10.2.0 (Windows) - 应用程序安全测试
- Github
- Gitlab