Gartner 2021 AST魔力象限最新出炉 看今年有什么变化？

2021年5月27日，全球最具权威的IT研究与顾问咨询公司Gartner发布2021年版《Magic Quadrant for Application Security Testing》，即Gartner 2021年应用程序安全测试魔力象限，简称Gartner 2021 AST魔力象限。

该魔力象限是Gartner对应用程序安全测试技术领域供应商评估比较的一个总结报告，通过其标准的方法，生成魔力象限图（包括领导者、挑战者、远见者、特定领域者4个象限）和相应的分析报告，企业客户可以根据魔力象限的可视化结果，考虑选择或投资某个技术供应商。

作为业内的权威报告，该魔力象限已经成为应用程序安全测试技术领域和软件安全行业的风向标，广受供应商和用户的关注。

一、2021 AST魔力象限最新变化

魔力象限的纵轴为供应商的“执行力”(Ability to Execute)，用于评估供应商将其愿景变成市场现实的能力，评估维度包含产品或服务的竞争力及成功度、供应商整体生存能力、销售执行力与定价、市场状况、客户体验以及供应商的整体运营，其实质是揭示供应商在市场的成功度。

魔力象限的横轴为供应商的“前瞻性”(Completeness of Vision)，评估维度包含供应商的市场理解、市场战略、产品战略、营销战略、产品创新、行业战略及地域战略，其实质是解释供应商在行业内的领先度。最终，结合供应商的执行力和前瞻性评估，Gartner将供应商划分到领导者、挑战者、有远见者和特定领域者四个象限。

相较于2020年，Gartner 2021 AST魔力象限呈现以下几个变化：

1、供应商数量增多。进入Gartner 2021 AST 魔力象限的供应商，由2020年的11家增加为现在的14家。新进入Snyk、Data Theorem、Invicti、GitHub 4家供应商，而CAST掉出象限。

⑴新进入象限的供应商：
• Snyk，成立于2015年，英国知名SCA供应商。其AST产品包括SCA with Snyk Open Source和Snyk Container，以及SAST with Snyk Code和Snyk Infrastructure as Code。该供应商适合需以开发人员为中心的SCA和SAST解决方案，并且可以扫描应用程序代码和IaC的组织。

• Data Theorem，成立于2013年，是美国一家现代应用程序安全领域的领先提供商，其核心使命是随时随地分析和保护任何现代应用程序。该供应商提供API、IaC测试和移动应用程序测试，它通过围绕云原生开发、API 和单页应用程序 (SPA) 安全性的核心能力来处理云原生和容器化应用程序，比较适合专注于这些应用程序的组织。

• Invicti，成立于2018年，是美国一家提供网络应用安全解决方案、网络和数据管理安全服务的信息技术供应商。Invicti以两个知名品牌Acunetix和Netsparker销售产品，其产品比较适合高度重视DAST的组织，不过其产品没有对SAST、容器扫描、IaC扫描、移动或关键业务应用程序评估功能的原生支持。2020年，Invicti Netsparker呈指数增长，在不到3年的时间里，该供应商赢得了350多个企业客户，这表明更好、更安全的网络是可能的。

• GitHub，成立于2008年，是全球最大社交编程及代码托管网站提供商。2018年，微软通过75亿美元的股票交易收购GitHub。GitHub在开发基础设施中的地位是为用户提供紧密集成和易用性，其主要的重点是SAST和SCA，GitHub的代码扫描和更完整的SCA功能，作为高级安全产品的一部分提供给商业GitHub Enterprise用户，由用户定价。2020年，GitHub提供了一个新的AST方法示例，其中测试工具是底层开发环境的一部分。

⑵掉出象限的供应商
• CAST，成立于1990年，美国专注于软件分析和测量领域的供应商，该供应商将基于事实的透明度引入到应用程序开发，维护和采购中，以将其转化为管理学科。2018年，CAST获得1250万美元的战略融资，其主要提供一种自动捕获和量化业务应用程序的可靠性，安全性，复杂性和规模的方法。在Gartner 2020 AST魔力象限报告中，Gartner曾指出，客户认为CAST是一个应用程序质量测试解决方案提供商，而不是应用程序安全供应商。该供应商不提供SCA作为其主要SAST产品AIP的一部分，而只提供CAST Highlight。同时，CAST的SAST解决方案缺少关键的软件开发生命周期（SDLC）集成功能等。这或许能够解释为什么CAST没能进入 Gartner 2021 AST魔力象限。

2、供应商的投融资活动比较活跃。
⑴领导者象限中，Synopsys 2020年收购Tinfoil Security，为Synopsys套件增加重要的API测试功能。2021年6月，Checkmarx获得私募股权公司Hellman＆Friedman一项金额高达11.5亿美元的注资。据Checkmarx介绍，该项注资代表了应用安全市场上有史以来最大的交易，也是2020年度最大的安全交易之一。

⑵挑战者象限中，以被动IAST闻名的Contrast Security收购了CloudEssence以扩展其云原生测试能力，并与NowSecure合作进行移动AST。该供应商还扩展了语言覆盖范围，使其TeamServer可以托管在容器中，并引入了漏洞优先级。另一家供应商GitLab收购了Peach Tech的仪器和Fuzzit的碰撞分析技术。并与IBM合作，在IBM Cloud Paks中提供GitLab Ultimate。

⑶远见者象限中，代码安全独角兽Snyk2020年获2亿美元D轮融资，估值超过26亿美元，同时Snyk收购了SAST提供商Deepcode.ai，该提供商提供基于ML的解释代码扫描。2021年3月，Snyk完成E轮融资，总额达3亿美元，并扩大了其领导团队，为全球企业提供先进的安全保障。该交易包括一级和二级发行，并导致1.75亿美元的新资本进入该业务。另一家在DAST方面享有盛誉的企业Rapid7，于2020年4月宣布以1.45亿美元的总价收购云安全态势管理(CSPM)的领导者Divvy Cloud Corporation。2021年2月，Rapid7完成对位于以色列特拉维夫的Kubernetes 安全领域领导者Alcide的收购。

⑷在特定领域者象限，2020年，监管科技初创公司Onapsis在D轮融资5500万美元，该供应商利用这笔资金通过快速扩展到关键任务SaaS应用程序市场来扩展规模，首先是Salesforce和SuccessFactors应用程序的保护和合规性。Onapsis于2009年在美国波士顿成立，专门为企业提供解决ERP潜在威胁的安全服务方案。

3、供应商象限归属与位置变化：有进有出，整体呈现执行力上升，前瞻性有待进一步提升的趋势。

具体情况：
⑴领导者象限
• 该象限供应商数量没有变化，保持5家不变，但具体供应商有所变化，包括Synopsys、Veracode、Checkmarx、Micro Focus、HCL Software。HCL Software由2020年的有远见者跃升至领导者象限，在市场执行力方面有了大幅提升；WhiteHat Security由2020年的领导者掉入挑战者象限。值得注意的是，相较于2020年，Synopsys和Micro Focus在市场执行力和前瞻性方面均有一定程度的下滑，Checkmarx在前瞻性方面有所下降，Veracode则表现出优秀的市场执行力。

• 关于领军供应商Synopsys在执行力和前瞻性方面下滑的说明：据Gartner分析，来自中小型企业的反馈表明，尽管他们对领导者Synopsys的解决方案感兴趣，但价格往往超出他们的预算，而且其销售流程也很复杂，这可能导致其市场执行力表现不佳。另外，在前瞻性方面，Synopsys已将其产品容器化为一系列精心编排的微服务（智能编排），允许由DevSecOps流程中的事件触发扫描。但目前智能编排仍处于早期阶段，这可能是其前瞻性表现欠佳的原因之一。

不过，在Gartner 发布2021年AST魔力象限后不久，Synopsys在2021年6月中旬宣布收购Code Dx公司。Code Dx是一家屡获殊荣的应用安全风险管理解决方案提供商，可自动识别软件漏洞、更早发现漏洞，并进行优先排序和修复。收购Code Dx后，Synopsys可以凭借自身解决方案及超过75种第三方和开源应用安全与开发产品生成关联的软件漏洞数据，为客户提供综合风险报告和优先级排序。Code Dx总部位于纽约诺斯波特，其研发工程师团队将加入Synopsys，他们在漏洞关联及在整个软件开发管道整合安全测试活动方面拥有丰富经验。

• 关于HCL Software突出表现的说明。
战略层面：HCL Softwar所属HCL是印度一家全球性IT服务供应商，从做IT服务外包起家，是2014年福布斯全球2000强，亚洲100强企业。该供应商最近几年开始向自主创新之路转型。转型过程中，HCL执行“Mode 1-2-3”的战略，其中最为重要的一个模式是新一代服务，即为客户提供数字化和分析、IoT、云服务本地化、数字安全和合规服务。数字安全和合规服务成为HCL战略的重要一环。

资本层面：2020年7月，HCL创始人独生子女，年仅38岁的Roshni Nadar Malhotra从父亲手中接任HCL Technologies董事长。此前，Nadar Malhotra在HCL担任高管已有12年。任职期间，她支持HCL以18亿美元从IBM购买其产品组合的交易。这笔交易主要是收购IBM旗下7款软件，其中，最重要的投资产品Appscan，属于应用程序安全测试领域。伴随这桩交易，HCL成立HCL Software业务部门负责收购软件的运营。

产品层面：在HCL正式收购IBM Security AppScan之前，Appscan 这款产品，最早是在1998年由一家名为Santum的公司（后被Watchfire收购）开发的黑盒扫描技术，2007年IBM收购Watchfire，Appscan 成为IBM的一部分。2017年3月HCL开始和IBM合作，从那时起，Appscan从9.0.3.7-9.0.3.13有了许多改变和改进，在该项技术上的研发投入也增加到4倍。2020年4月，在完成收购之后，HCL向市场发布新的HCL Appscan第四版本；同年8月，发布第一款重大版本更新的创新产品——AppScan V10。

市场层面：相关资料显示，HCL新成立的产品和平台部门，即HCL Software在整合IBM产品、业务和客户的过程中，对HCL整体营收起到了积极的拉动作用。据了解，2020年，HCL营收额突破100亿美元的最新里程碑。HCL Software相关产品负责人介绍，快速、准确、敏捷的应用安全性测试解决方案——AppScan V10，因其注重与Devops、Devsecops以及SDL软件开发生命周期的紧密相连，目前已成为HCL最具颠覆性且成长最快的产品，其收入已达到10亿美元，其中云版本客户年增长超过300%。

基于以上在战略、资本、产品及市场等层面的多年调整和演进，HCL software在应用程序安全测试领域（即AST）的市场执行方面强劲有力，因此也得以在Gartner 2021 AST魔力象限中，跃升至领导者象限。

⑵挑战者象限
• 由2020年仅有1家供应商增加至2021年的3家，包括WhiteHat Security、Contrast Security、GitLab。其中，WhiteHat Security由2020年的领导者滑落为2021年的挑战者，其对市场的理解和愿景的完整性方面有待提升和加强；Contrast Security、GitLab分别由2020年的有远见者和特定领域者象限跳升至现在的挑战者象限，在市场执行力方面表现优异。

• Contrast Security成为挑战者的相关说明：
Contrast Security，成立于2014年，是美国一家防止黑客从应用程序窃取数据的企业应用程序安全软件供应商，Contrast Security采用专利软件植入技术使得应用程序通过检查漏洞。该供应商以被动IAST闻名，其产品Contrast Assess是最广泛采用的IAST解决方案之一，并且继续在Gartner审查的几乎所有IAST入围名单中竞争。

据Gartner及其客户反馈，Contrast提供了最广泛的IAST语言覆盖范围之一，包括 Java、.NET Framework、.NET Core、Node.js、Ruby、Python 和 Golang。Contrast Security 有助于在没有安全测试专业知识的开发团队中嵌入AST，因为代理通过“捎带”正常应用程序测试来识别漏洞。

除自身产品的优秀表现外，Contrast Security还收购了CloudEssence以扩展其云原生测试能力，并与NowSecure合作进行移动AST。它还扩展了语言覆盖范围，使其 TeamServer可以托管在容器中，并引入了漏洞优先级。Contrast Security适合寻求插入以开发人员为中心的自动化、持续进行安全测试的组织。

• Gitlab成为挑战者的相关说明：
Gitlab，成立于2014年，是美国一家提供现代化开发者协作平台的供应商，提供完整的DevOps平台。该供应商提供AST作为其更广泛的DevOps平台的一部分，适合将其平台用作开发环境的组织，以及寻求更广泛开发CI/CD支持解决方案的组织，该解决方案具有开发人员友好且价格合理的安全扫描选项。

Gitlab AST产品紧跟DevOps发展趋势，并将其AST产品包括SAST、秘密检测和依赖扫描等融入在其Ultimate/Gold层中，其价格可预测且透明。SAST和秘密检测是GitLab免费版的一部分。同时，GitLab提供容器扫描以查找漏洞，以及在Docker容器和使用Kubernetes的容器中进行代码部署。由于提供自动化，它的模糊测试功能既精细又易于使用，专业知识水平较低。

2020年，GitLab收购Peach Tech的仪器和Fuzzit的碰撞分析技术。它添加了移动 AST，将移动安全框架 (MobSF) 集成到平台中，以及API和覆盖引导的模糊测试功能。还增加了对离线环境和漏洞管理的支持。同时，GitLab与IBM合作，在IBMCloud Paks中提供GitLab Ultimate。

基于以上在产品、价格方面的领先优势，以及在技术领域的投资，使得其在市场执行方面有了显著提升，得以进入挑战者象限。

⑶远见者象限
• 供应商由2020年的2家增加至2021年的3家，包括Snyk、Rapid7、Data Theorem。其中，Rapid7由2020年的挑战者变为2021年的有远见者，Snyk和Data Theorem为最新进入Gartner 2021 AST魔力象限，并成为有远见者的企业。

具体情况：
Rapid7宣称是全球领先的安全风险信息解决方案提供商，Rapid7用来漏洞管理、漏洞扫描、漏洞评估和渗透测试。该供应商于2020年4月宣布以1.45亿美元的总价收购云安全态势管理(CSPM)的领导者 Divvy Cloud Corporation。5月，收购后的Divvy Cloud 发布一项新的核心功能，即基础设施即代码 (IaC) 安全性。2021年2月，Rapid7完成对位于以色列特拉维夫的Kubernetes安全领域领导者Alcide的收购。Alcide提供完全集成到DevOps生命周期和流程中的无缝Kubernetes安全性，以便快速部署业务应用程序，同时保护云环境免受恶意攻击。

Data Theorem在2020年独特地满足了客户对现代Web应用程序、API驱动的微服务和云资源的安全需求，帮助越来越多的组织应对2020年的业务挑战，包括云迁移和在家工作 (WFH) 期间支持DevSecOps。

2020年6月，该供应商推出新的AppSec解决方案Web Secure自动化分析和修复，以解决困扰行业多年的现代Web和单页应用程序安全问题，Data Theorem声称该解决方案，是业界首个全栈应用安全分析器，可以为现代Web应用程序提供从Web层到其嵌入式API和云资源的漏洞分析。

2021年3月，Data Theorem又推出Cloud Secure产品，此云安全产品独特地结合了攻击面管理、云安全态势管理和防御性保护，以防止云数据泄露。Data Theorem宣称，这款云安全产品是业界首款具有攻击面管理(ASM)的应用感知全栈云安全产品，用于保护云原生应用程序、API服务和无服务器中的数据云功能。

Data Theorem凭借围绕云原生开发、API和单页应用程序(SPA)安全性的核心能力，成功进入Gartner 2021 AST 魔力象限，成为富有远见者。

代码安全独角兽Snyk，2020年5月和 Docker 宣布达成合作关系，以帮助开发人员安全地构建和使用容器以及开源。2020年9月，该供应商获2亿美元D轮融资，估值超过26亿美元。2021年3月，Snyk完成E轮融资，总额达3亿美元，并扩大了其领导团队，为全球企业提供先进的安全保障。该交易包括一级和二级发行，并导致1.75亿美元的新资本进入该业务。

⑷特定领域者象限
在Gartner 2021 AST 魔力象限中，Onapsis、Invicti、GitHub3家供应商进入特定领域者象限，其中Invicti、GitHub为新进入者。

4、进入象限的供应商均为国外供应商，且它们有一个共同的特点是专注IAST、SAST、SCA、DAST、FUZZ的一个或几个领域，并注重适应云原生、Devops或DevSecops的发展，开发相应的技术方案，但没有哪一家供应商能够全面覆盖这几个领域。

5、Gartner 观察到AST市场发展的主要驱动力是需要支持企业DevOps计划。客户需要能够提供高保证、高价值发现的产品，同时又不会不必要地减慢开发工作。客户希望产品能更早地融入开发过程，测试通常由开发人员而不是安全专家驱动。

二、国内市场或将迎来井喷式发展

通过对Gartner 2021 AST魔力象限的解读，再联想到近期Apiiro作为创业黑马，凭借其在业内首先提出的代码风险平台，夺得“安全圈奥斯卡”RSA 2021创新沙盘冠军，可以看出，进入应用安全领域的玩家变多，市场变热，大家对安全左移达成共识。

国外应用安全市场如此火热，国内市场怎样？未来趋势如何？

国家十四五规划提出，要“坚持自主可控、安全高效”，这是我国十四五期间实施制造强国战略非常重要的原则和思路的变化。并且相对建议而言，十四五规划纲要把这一说法提到了最前面，更加凸显了当前国际形势下安全和自主可控的重要性，其中对基础软件领域基础能力建设的投入也是主要新增内容，随着国内大型基础软件自主研发剧增，配套的软件安全市场也将随之剧增。

同时，信创产业建设，作为落实“世界科技强国”的重要行动，是推动经济发展的重要抓手，坚持走自主可控的国产化道路，无论从信息安全、供应链安全还是成本角度，行业关键信息基础设施国产化、去IOE化都是大势所趋。操作系统、数据库、中间件、安全产品到应用系统的业务链条中发展创新，覆盖交通、知识产权、金融、能源等国民经济重要领域。发展自主可控软件未来增值服务潜力巨大，相应配套的软件安全市场潜力巨大。

未来，伴随中美关系的持续变化，经济摩擦不断，全球化发展停滞，在2~3年内，基于经济和政治因素，本土软件安全市场将迎来国外产品断供潮，亟需一批有能力、有担当、技术实力过硬的企业补位，国内软件安全产业将迎来发展高潮。

开源网安研究院院长表示“国内软件安全市场爆发在即，其爆发主要来源于三大驱动力，其一，随着以美国为代表的软件安全企业在国内的断供，国内大型软件企业将逐渐替换国外软件安全测试工具；其二，随着国内信创产业的建设，国内基础软件逐步走上舞台，这些大型软件的安全问题越发受到重视；最后，以云计算、5G、人工智能、车联网、物联网为代表的新技术的出现，让软件定义一切的概念更加深入人心，软件安全关系到每一个人的生命安全，其重要性也越发凸显，其软件安全需求将得到进一步释放。”

三、开源网安，填补国内应用安全产品“空白”

作为国内领先的软件安全全生命周期（S-SDLC）解决方案提供商，开源网安完全对标“Gartner应用安全测试魔力象限”的领导企业。目前，开源网安自主研发的软件安全测试工具，在产品功能、成熟度、售后服务、支持的运行环境、易用性、可扩展性、可维护性等方面，完全可以替代“Gartner应用安全测试魔力象限”的领导企业。开源网安凭借独有的技术领先优势，和自主可控的开发理念，有效填补国内软件安全产品“空白”。


公司自主研发的系列化软件安全产品，包括灰盒安全测试工具VulHunter、代码审核工具CodeSec、开源组件安全及合规管理平台SourceCheck、模糊测试工具SFuzz、实时应用自我防护平台RASP、及软件安全全生命周期平台S-SDLC平台，全面覆盖IAST、SAST、SCA、FUZZ、RASP。同时，公司还不断深化DevSecOps、软件安全上线检测等技术解决方案，推进5G网络、车联网、人工智能等新基建软件安全解决方案落地，为中国软件安全产业持续输出产品、技术和解决方案，在快速交付的同时不断提升和保障国内软件安全质量。

作为软件安全行业创领者，开源网安自成立以来，一直专注于软件安全开发领域，始终以自主创新为发展源动力，致力于为中国软件安全保驾护航，帮助企业提升软件的安全与质量。未来，公司将继续秉承“捍卫中国软件安全”的核心理念，以突破关键软件安全开发技术壁垒、消减国外软件和技术断供风险为己任，积极推动我国网信创新工作、新型基础设施建设、国家软件重大工程等关键信息技术发展，为推动中国软件产业实现高质量发展做出贡献。