1. Gartner魔力象限介绍
全球领先的信息技术研究和顾问公司Gartner,采用魔力象限研究方法对特定市场的进行研究,利用图示法和一系列统一的评估标准,以图形化的方法提供了该技术领域的主要竞争参与者,以及这些竞争参与者的相对位置。
Gartner 面对快速增长和提供商差异化明显的众多市场,Gartner 魔力象限用图形化方法划分出四类提供商魔力四象限图:
- 领导者:很好地执行了当前愿景,并为未来做好了充分准备
- 有远见者:了解市场发展方向,或者有改变市场规则的设想,但执行效果不尽如人意。
- 特定领域者:成功专注于一个小的细分市场,或者目标不明确,创新和表现未能超越竞争对手。
- 挑战者:当前表现很好,或者可能在大部分细分市场占据主导地位,但未表现出对市场方向的了解。
魔力象限的作用:
- 快速了解市场上的竞争技术提供商及其满足最终用户当前和未来需求的能力;
- 了解市场上的技术提供商的竞争定位,以及用于竞争最终用户业务的策略 ;
- 将技术提供商的优势和挑战与您的特定需求进行对比。
目前Gartner通过魔力象限研究方法,提供了大约290多份这类的报告。详见:https://www.gartner.com/cn/research/magic-quadrant。
2. 2021年Gartner应用安全检测魔力象限
前几年的Gartner应用安全检测魔力象限报告,在每年的四月份发布。今年可能是因为疫情的原因,推迟到了五月底才发布。我们将去年和今年魔力象限报告的放在一起对比,可以更加清楚的看出应用安全检测厂商的发展趋势和变化。
-
2020年Gartner应用安全检测魔力象限图
-
2021年Gartner应用安全检测魔力象限图
2.1. 领导者
与去年相比,领导者象限逐步演化成两个阵营,Synopsys,Veracode,CheckMarx 成为第一阵营,这三间公司都是在魔力象限的领导者位置成名已久。
Synopsys 2014年3.7亿美金收购了Coverity之后,2015年进入Gartner应用安全测试领域魔力四象限之后,便一路向前,2019年成为该领域的领头羊,并且在这些年不断扩大领先优势。
Veracode也是可以说是一个老牌的静态分析工具,他的特点是通过二进制分析安全缺陷。早在2009年就进入了Gartner的静态安全检测魔力四象限,从2010起就一直在领导者象限打拼,但始终被Fortify,Coverity压着,始终处于第三,第四的位置,可以说是常年老三。
CheckMarx可以说是应用安全测试中少数的非欧美(基本上全是美国的)国家的产品(以色列,但主要的控股财团还是美国公司)。只有我国的绿盟(NSFOCUS)在2015到2017年进入过特定领域象限。美国在应用安全检查的这个领域有着绝对的优势和控制权,应用安全检查是高科技领域资金看好的投资区域,象限中的公司即便不是美国的公司,主要的资金来源也是美国财团。CheckMarx 从2010年开始进入该领域的魔力象限,到2018年终于进入到领导者象限。个人觉得CheckMarx之所以能够这么快的发展起来,与工具推行的使用简单的方式完成安全检查有很大关系。可以让用户快速完成规则的修改,采用探索的方式降低规则的误报,通过这种方式把降低误报的工作交由用户自己来完成,这样大大提升了用户的满意度。
排在第二梯队的是HCL Software和Micro Focus。HCL Software在2019年初以18亿美金收购了IBM的Appscan,并于2020进入Gartner魔力象限的有远见者象限,今年就立刻进入了领导者象限了。
而第二梯队的Micro Focus的静态检查工具Fortify自2017年从HP卖给Micro Focus之后,正逐步下滑,与第一梯队的差距正逐步拉大。Fortify在2006年做为最早进入中国市场的商用静态检查工具,曾经是我们学习和膜拜的大神,似乎正慢慢的走下神坛,真让人担心明年会不会跌出领导者的地位。
2.2. 变动的公司
在今年的魔力象限图中,增加了四家公司:Data Theorem,GitHub,Invicti,Snyk。
- Data Theorem:提供API,IaC测试和手机应用测试的公司。
- GitHub:在2018被微软75收购之后,2019年收购Semmel(静态分析),同年收购Dependabot(软件成分分析)。GitHub拥有大量的代码资源,有着广泛的应用安全市场和检测工具所需要的海量测试数据,这些都为GitHub今后在安全检查领域的产品发展,提供了巨大的想象空间。
- Invicti:主要从事的领域在动态测试,Netsparker和Acunetix是他的两个主力产品。
- Snyk:Deepcode.ai做为这几年AI用于代码检查的代表性产品,去年Snyk收购了这家瑞士公司,为公司提供SAST服务,今年便立刻进入了魔力象限,可见资本运作的强大。
而CAST 在2019-2020年进入魔力象限的特定领域之后,今年却没能继续出现。CAST是一家法国公司,是这应用安全检查领域少数的欧洲国家之一。CAST 是目前唯一个遵守了ISO 5055(软件代码评估标准)的检查工具(参考:自动源代码质量度量(ISO/IEC 5055),同时也遵守了CISQ标准。(参考:话说CWE 4.2的新视图,话说CWE 4.3的新视图 - 数据保护检查)。是一个有着不错质量理论做支撑的检查工具,但应该是该工具缺少动态检查(DAST)和交互检查(IAST)的能力,而没能继续在这个领域的魔力象限中出现。
3. 范围的变化
今年的Gartner应用安全的检查魔力象限,从以往的静态应用安全检查(SAST),动态应用安全检查(DAST),交互引用安全检查(IAST),以及软件组件检查(SCA),考虑到这几年应用安全发展的特点增加了:
- 基础设施代码测试(Infrastructure as code (IaC) testing);
- 容器安全(Container security);
- 模糊测试(Fuzz testing);
- API测试(API testing);
- 云原生支持(Cloud-native support)。