Gartner 应用程序安全测试 (AST) 魔力象限 2025
Magic Quadrant for Application Security Testing 2025
请访问原文链接:https://sysin.org/blog/gartner-magic-quadrant-ast-2025/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
Gartner 魔力象限:应用程序安全测试 2025
Magic Quadrant for Application Security Testing
发布于 2025 年 10 月 6 日
魔力象限
人工智能、现代应用架构以及不断增加的软件供应链风险正在扩大 AST 市场的范围。网络安全领导者可以通过在软件生命周期中集成并自动化 AST,从而识别和管理应用中的风险。
市场定义/描述:
Gartner 将应用安全测试(AST)市场定义为由提供产品的厂商组成,这些产品使组织能够评估应用程序中风险的存在及其管理。这些产品通过评估源代码、执行运行时测试以及检查供应链组件来识别风险。AST 产品可以集成到开发流程中以实现持续评估,也可以用于执行临时评估。它们通过提供一套集成能力,使组织能够管理应用风险,这些能力包括风险识别、优先级排序与分级处理、策略评估与执行以及修复支持。市场产品提供本地部署(on-premises)、SaaS 和混合交付模式。
组织使用 AST 产品在整个生命周期内评估应用程序中是否存在安全漏洞及其他风险(例如法律和运营风险)。这些评估用于在考虑业务关键性及其他关键属性(例如环境、敏感数据处理等)的背景下,对单个应用、应用组件或应用组合中的风险进行度量和管理 (sysin)。AST 产品还使组织能够评估软件是否符合内部策略以及政府或权威行业组织制定的监管要求。
必备功能:
该市场中产品的最低必备功能包括:漏洞识别、测试结果评估与管理、供应链风险识别与沟通,以及开发者赋能。
- 漏洞识别:
- 静态应用安全测试(SAST):通过多种分析技术评估应用的源代码、字节码或二进制代码中的安全漏洞,通常在软件开发生命周期(SDLC)的编程和/或测试阶段进行。
- 软件成分分析(SCA):识别应用开发中所包含的第三方组件(开源或商业)。除了依赖关系信息外,还提供已知漏洞、潜在许可问题、运营风险以及恶意软件包识别等信息。
- 应用安全态势管理:
- 策略评估:根据预定义或客户自定义的标准,对评估结果和应用进行评估,以判断风险引入或风险存在的可接受时长。
- 优先级排序与分级处理:基于与扫描对象、扫描结果及风险因素相关的公开信息和专有信息,推荐并允许调整修复优先级。
- 态势与绩效报告:在应用和应用组合层面提供度量指标,用于量化并评估对风险引入和风险处理期望的符合程度。
- 软件供应链安全:
- 软件物料清单(SBOM)生命周期管理:支持 SBOM 的导入、创建和共享,用于识别并传达应用中包含的第三方组件(商业或开源)的清单及其相关风险。
- 开发者赋能:
- 开发者教育:包括针对单个扫描结果的即时培训和/或修复指导,以及按需提供的安全软件开发培训材料。
常见功能:
常见功能是指大多数厂商产品中包含的能力。产品通常会从每个类别中包含多种能力,而细分领域厂商(例如嵌入式系统 AST)或专注于特定类别的厂商则可能更具选择性。
- 漏洞识别:
- 动态应用安全测试(DAST):在 SDLC 的测试和运行阶段,从外部对运行中的(即动态)应用进行探测。DAST 通过模拟攻击来评估应用的响应,并识别漏洞的存在。
- 交互式应用安全测试(IAST):通过注入软件传感器对被测应用进行插桩。当应用运行时(例如在功能测试期间),传感器会监控并记录应用活动的多个方面,如数据流和控制流。随后工具分析收集的信息以识别漏洞 (sysin)。
- 密钥/敏感信息检测:用于识别代码、配置文件或其他工件中暴露的敏感信息(例如凭证、令牌、API 密钥等)的专用测试能力。
- API 安全测试:提供针对 API 的专用测试能力,包括对 API 使用协议的支持、负载分析以及针对 API 特有漏洞的检测。通常还包括发现开发和生产环境中的 API,以及导入已记录流量或 API 定义以支持 API 测试的能力。
- 容器安全测试:在部署前检查容器镜像或已实例化的容器是否存在安全问题。容器安全工具通常同时覆盖配置加固和漏洞评估任务,也可能扫描是否存在硬编码凭证或认证密钥等敏感信息。
- 基础设施即代码(IaC)扫描:审查 IaC 指令,这些指令用于支持软件定义计算(SDC)、网络和存储基础设施的动态创建、配置和管理。
- 应用安全态势管理:
- 统一可视性与关联分析:支持导入第三方工具的评估结果,包括云和基础设施漏洞及错误配置,并进行去重和关联分析。
- 安全工作流编排:基于策略配置并触发安全测试、控制措施和工作流,在应用生命周期中实现风险检测与响应。
- 软件供应链安全:
- 流水线安全:对开发流水线中的安全控制措施以及其依赖和运行的基础设施与系统进行清单化和评估。
- 开发者赋能:
- 安全编码助手:通过资源(通常结合 AI)帮助开发者避免编写不安全代码,或为现有代码中的安全缺陷提供自动修复和/或缓解建议。
魔力象限:
领导者(Leaders):
- Black Duck
- Checkmarx
- Snyk
- OpenText
- Veracode
- HCLSoftware
挑战者(Challengers):见图
有远见者(Visionaries):见图
特定领域者(Niche Players):见图
查看完整报告(限期公开):https://sysin.org/blog/gartner-magic-quadrant-ast-2025/
如何选择
在特定市场内定位技术参与者。
主要技术市场上有哪些竞争参与者?他们如何为您提供长期帮助?Gartner 魔力象限是对特定市场的巅峰研究,可帮您广泛了解市场竞争对手的相对位置 (sysin)。利用图示法和一系列统一的评估标准,魔力象限可帮助您快速确定技术提供商执行其既定愿景的情况,并参照 Gartner 的市场观点了解其表现。
如何使用 Gartner 魔力象限?
面对特定投资机会考虑技术提供商时,请借助 Gartner 魔力象限迈出第一步。
请记住,专注于领导者象限不一定是最好的行动方案。有充分的理由考虑市场挑战者。特定领域者可能比市场领导者更能满足您的需求。这完全取决于提供商如何与您的业务目标保持一致。
Gartner 魔力象限如何发挥作用?
面对快速增长和提供商差异化明显的众多市场,Gartner 魔力象限用图形化方法划分出四类提供商:
- 领导者很好地执行了当前愿景 (sysin),并为未来做好了充分准备
- 有远见者了解市场发展方向,或者有改变市场规则的设想,但执行效果不尽如人意。
- 特定领域者成功专注于一个小的细分市场,或者目标不明确,创新和表现未能超越竞争对手。
- 挑战者当前表现很好,或者可能在大部分细分市场占据主导地位,但未表现出对市场方向的了解。
试用领导者产品
领导者(Leaders):
- Black Duck:暂无
- Checkmarx:Checkmarx SAST 9.5 for Windows - 源代码扫描 (静态应用安全测试)
- Snyk:暂无
- OpenText:OpenText Static Application Security Testing (Fortify) 26.1 (macOS, Linux, Windows) - 静态应用安全测试
- Veracode:暂无
- HCLSoftware:HCL AppScan Standard 10.10.0 for Windows x64 - Web 应用程序安全测试
💡:试用产品仅为部分功能覆盖,暂无完整产品线。
