首页 > 编程语言 >Gartner 魔力象限:应用程序安全测试 2023 - Magic Quadrant for Application Security Testing 2023

Gartner 魔力象限:应用程序安全测试 2023 - Magic Quadrant for Application Security Testing 2023

时间:2023-05-25 13:44:29浏览次数:73  
标签:Magic 象限 Testing 应用程序 安全 测试 2023 Gartner

Magic Quadrant for Application Security Testing 2023

Gartner 魔力象限:应用程序安全测试 2023

请访问原文链接:https://sysin.org/blog/gartner-magic-quadrant-ast-2023/,查看最新版。原创作品,转载请保留出处。

作者主页:sysin.org


Gartner 魔力象限:应用程序安全测试 2023

Magic Quadrant for Application Security Testing

发布于 2023 年 5 月 17 日


魔力象限

现代应用程序设计、向云的转变以及 DevSecOps 的加速采用正在扩大 AST 市场的范围。通过在软件生命周期中集成和自动化 AST,安全和风险管理领导者可以满足更紧迫的期限并测试更复杂的应用程序。

市场定义/描述:

本文档于 2023 年 5 月 19 日修订。有关详细信息,请参阅 gartner.com 上的更正页面。

Gartner 对市场的看法侧重于满足最终用户未来需求的转型技术或方法。它不像今天那样专注于市场。

Gartner 将应用程序安全测试 (AST) 市场定义为旨在分析和测试应用程序安全漏洞的产品和服务的买卖双方。这个市场是高度动态的,并继续经历快速发展以响应不断变化的 应用程序架构和支持技术。

在此分析和供应商评估中,我们继续更加关注新兴技术和方法,以及满足 它们带来的新要求的 AST 工具。总体而言,市场包括提供核心测试功能的工具——例如,静态、动态和交互式测试; 软件组成分析(SCA); 以及各种可选的专门功能。

AST 工具 既可以作为基于软件即服务 (SaaS) 的订阅产品提供,也可以较少地作为本地软件提供。许多供应商都提供这两种选择 。核心功能提供基础测试功能,大多数组织使用一种或多种类型,其中 包括 :

  • 静态 AST (SAST): 分析应用程序的源代码、字节码或二进制代码是否存在安全漏洞,通常 编程和/或测试阶段。是在软件开发生命周期 (SDLC) 的
  • 软件组成分析 (SCA): 用于识别应用程序中使用的开源组件和商业组件,频率低得多。由此,可以识别已知的安全漏洞、潜在的许可问题和操作风险。

可选功能提供更专业的测试形式,通常根据组织的应用程序组合或应用程序安全程序成熟度补充核心功能。他们包括:

  • API 测试: API 已成为现代应用程序(例如,单页或移动应用程序)的重要组成部分,但传统的 AST 工具集 可能无法对其进行全面测试,因此需要专门的工具和功能。典型功能包括在开发和生产环境中发现 API 和测试 API 源代码的能力,以及摄取记录的流量或 API 定义以支持测试正在运行的 API 的能力。

  • 应用程序安全态势管理 (ASPM): ASPM 通过从开发到部署的整个 SDLC 安全问题的检测、关联和优先级排序,持续管理应用程序风险。他们从多个来源获取数据,然后关联并分析他们的发现,以便更轻松地进行解释、分类和补救。它们充当安全工具的管理和编排层,支持控制和安全策略的实施。通过提供应用程序安全调查结果的综合视角,ASPM 工具有助于管理和补救个别调查结果,同时提供整个应用程序或系统的安全和风险状态的综合视图。

  • 容器安全: 容器安全扫描检查容器镜像,或在部署之前完全实例化的容器,以查找安全问题。容器安全工具专注于各种任务,包括配置加固和漏洞评估任务。工具还会扫描是否存在秘密,例如硬编码凭据或身份验证密钥。容器安全扫描工具可以作为应用程序部署过程的一部分运行,或者与容器存储库集成,因此可以在存储图像以供将来使用时执行安全评估。

  • 开发人员支持: 开发人员支持工具和功能支持开发人员和工程团队成员努力创建安全代码。这些工具主要侧重于安全培训和漏洞补救指导,既可以独立使用,也可以集成到开发环境中。

  • 动态 AST (DAST): DAST 在测试和操作阶段分析处于运行(即动态)状态的应用程序。DAST 模拟针对应用程序(通常是启用 Web 的应用程序,但也越来越多的应用程序编程接口 [API])的攻击,分析应用程序的反应并确定它是否易受攻击。

  • 模糊测试: 模糊测试依赖于向程序提供随机的、格式错误的或意外的输入来识别潜在的安全漏洞——例如,应用程序崩溃或异常行为、内存泄漏或缓冲区溢出,或使程序处于不确定状态的其他结果。模糊测试,有时称为 非确定性 测试,可用于大多数类型的程序,尽管它对依赖大量输入处理的系统(例如,Web 应用程序和服务、API)特别有用。

  • 基础设施即代码 (IaC) 测试: Gartner 将 IaC 定义为软件定义计算 (SDC)、网络和存储基础设施作为源代码的创建、供应和配置。IaC 安全测试工具有助于确保符合通用配置强化标准、识别与特定操作环境相关的安全问题、定位嵌入式机密,并执行支持特定组织标准和合规性要求的其他测试。

  • 交互式 AST (IAST): IAST 工具启动并装备正在运行的应用程序(例如,通过 Java 虚拟机 [JVM] 或 .NET 公共语言运行时 [CLR])并检查其操作以识别漏洞。大多数 IAST 实施被认为是被动的,因为它们依赖于其他应用程序测试来创建 IAST 工具随后评估的活动。

  • 移动 AST (MAST): 这解决了与测试移动应用程序相关的特殊要求,例如那些在使用 iOS、Android 或其他操作系统的设备上运行的应用程序。这些工具通常使用经过优化的传统测试方法(例如 SAST 和 DAST),以支持通常用于开发移动和/或物联网 (IoT) 应用程序的语言和框架。他们还测试这些环境特有的漏洞和安全问题。

  • 软件供应链安全 (SSCS):

    旨在识别和管理与软件供应链相关的风险的功能。它们可能包括:

    • 主动分析来自外部来源(开源或商业)的软件,以识别可能带来不可接受风险的组件(例如,维护不善的项目、安全控制不充分、存在恶意软件或恶意代码等) 。
    • 创建和管理工件,使软件用户能够评估组织生产的软件的安全性(例如软件物料清单 [SBOM] 或应用程序安全证明)。
    • 的完整性,以防止对开发过程的直接攻击。确保源代码和其他开发 或部署工件以及用于生成它们的底层系统

Gartner 观察到,AST 市场的发展在很大程度上是由支持企业 DevSecOps 和云原生应用程序计划的需求推动的。客户需要的产品能够提供高可靠性、高价值的发现,同时不会不必要地减慢开发工作。客户希望产品能够在早期阶段融入开发流程,测试通常由开发人员而非安全专家推动。因此,该市场评估重点关注买方的需求,包括支持对各种应用程序类型进行快速准确的测试,以及集成到自动化水平不断提高的软件交付工作流中的能力。

gartner-magic-quadrant-ast-2023


领导者(Leaders)

  • Synopsys
  • Checkmarx
  • Veracode
  • OpenText(原 Micro Focus)

挑战者(Challengers):见图

有远见者(Visionaries):见图

特定领域者(Niche Players):见图


查看完整报告(限期公开):https://sysin.org/blog/gartner-magic-quadrant-ast-2023/


如何选择

在特定市场内定位技术参与者。

主要技术市场上有哪些竞争参与者?他们如何为您提供长期帮助?Gartner 魔力象限是对特定市场的巅峰研究,可帮您广泛了解市场竞争对手的相对位置 (sysin)。利用图示法和一系列统一的评估标准,魔力象限可帮助您快速确定技术提供商执行其既定愿景的情况,并参照 Gartner 的市场观点了解其表现。

如何使用 Gartner 魔力象限?

面对特定投资机会考虑技术提供商时,请借助 Gartner 魔力象限迈出第一步。

请记住,专注于领导者象限不一定是最好的行动方案。有充分的理由考虑市场挑战者。特定领域者可能比市场领导者更能满足您的需求。这完全取决于提供商如何与您的业务目标保持一致。

Gartner 魔力象限如何发挥作用?

面对快速增长和提供商差异化明显的众多市场,Gartner 魔力象限用图形化方法划分出四类提供商:

  • 领导者很好地执行了当前愿景 (sysin),并为未来做好了充分准备
  • 有远见者了解市场发展方向,或者有改变市场规则的设想,但执行效果不尽如人意。
  • 特定领域者成功专注于一个小的细分市场,或者目标不明确,创新和表现未能超越竞争对手。
  • 挑战者当前表现很好,或者可能在大部分细分市场占据主导地位,但未表现出对市场方向的了解。

试用领导者产品

领导者(Leaders)

挑战者(Challengers)

标签:Magic,象限,Testing,应用程序,安全,测试,2023,Gartner
From: https://www.cnblogs.com/sysin/p/17430939.html

相关文章

  • C/C++电话订餐信息处理系统[2023-05-25]
    C/C++电话订餐信息处理系统[2023-05-25]电话订餐信息处理系统要求提交:1个C源程序文件;1个word文档,包含源代码和运行过程截图;全部打包压缩成一个文件,文件名为“学号后2位+姓名+电话订餐信息处理系统”。1.题目要求一个小饭馆的生意非常红火,要想用餐必须提前一天打电话预......
  • 2023年CCPC河南省程序设计竞赛 mjh
    首先,很荣幸有机会参加此次ccpc,虽然成绩很一般。。。这次ccpc一共过了两道签到题。比赛开始就找到了a题,考察字符串的回文判断,通过调用c++库函数过了。第二道签到题类似于数学题。通过类似于找规律的方法,wa了两发过了。看了榜单后决定跟题,大部分时间主要花在f题上,想到排序后在每段......
  • TDengine 成功“晋级” Percona Live 2023 银牌赞助商,开发者驻足关注
    :::hljs-center带着创新的数据技术走遍全球这一次陶建辉带着TDengine飞到了丹佛......:::2023年5月22-24日,一年一度的开源数据库领域全球最具影响力峰会PerconaLive2023在丹佛技术中心万豪酒店举办。PerconaLive是全球持续举办最久的独立开源数据大会,这场为期......
  • .NET周报 【5月第3期 2023-05-21】
    国内文章C#实现Linux视频会议(源码,支持信创环境,银河麒麟,统信UOS)https://www.cnblogs.com/shawshank/p/17390248.html信创是现阶段国家发展的重要战略之一,面对这一趋势,所有的软件应用只有支持信创国产化的基础软硬件设施,在未来才不会被淘汰。那么,如何可以使用C#来实现支持信创......
  • 2023年ccpc河南省程序设计竞赛-clk
    很荣幸能够参加这次比赛,比赛机会挺难得得,还是第一次线下参加这样的大型比赛,比赛体验自然无话可说比较刺激.。这次比赛我和队友crf和nhr共同解决了三道题,参与感极差,可以说问题很大,最简单的签到题我们花费了几乎俩小时,而后面的俩题用时非常少,导致罚时比较大,最后只拿了个铜奖,但终归还......
  • 行业报告 | 2023中国机器人产业发展增长报告
    文|BFT机器人012023中国机器人产业发展增长报告2022世界机器人大会上发布的《中国机器人产业发展报告》预计,2022年中国机器人市场规模将达174亿美元,2017年至2022年年均增长率达22%。其中,2022年工业机器人市场规模有望达87亿美元,服务机器人市场规模有望达65亿美元,特种机器人市场规......
  • TDengine 成功“晋级” Percona Live 2023 银牌赞助商,开发者驻足关注
    带着创新的数据技术走遍全球这一次陶建辉带着TDengine飞到了丹佛...... 2023年5月22-24日,一年一度的开源数据库领域全球最具影响力峰会PerconaLive2023在丹佛技术中心万豪酒店举办。PerconaLive是全球持续举办最久的独立开源数据大会,这场为期三天的大会聚集了......
  • 首个机器学习实时特征平台测试基准论文被 VLDB 2023 录取
    国际顶级数据库学术会议VLDB2023将于2023年8月份在加拿大温哥华举办。近日,由清华大学、新加坡国立大学、以及OpenMLDB社区联合完成的科研成果-业界第一个严谨的机器学习实时特征平台测试基准,被大会录取并且受邀在现场报告。论文题目为:FEBench:ABenchmarkforReal-Ti......
  • 快递业的最新发展趋势:2023年市场预测
    快递业是随着电子商务崛起而迅速发展的行业之一。自从互联网取代了线下商业模式,电子商务的发展成为了现代零售业的主要趋势,而快递业则变得越来越重要和不可或缺。未来的快递业需要应对许多挑战和机遇。在2023年,快递业将进一步走向数字化、服务化和智能化,这些趋势将推动整个行业的创......
  • 【Spring从成神到升仙系列 一】2023年再不会动态代理,就要被淘汰了
    ......