全球领先的信息技术研究和顾问公司Gartner,采用魔力象限研究方法对特定市场的进行研究,利用图示法和一系列统一的评估标准,以图形化的方法提供了该技术领域的主要竞争参与者,以及这些竞争参与者的相对位置。
Gartner 面对快速增长和提供商差异化明显的众多市场,Gartner 魔力象限用图形化方法划分出四类提供商魔力四象限图:
魔力象限的作用:
目前Gartner通过魔力象限研究方法,提供了大约290多份这类的报告。详见:https://www.gartner.com/cn/research/magic-quadrant。
前几年的Gartner应用安全检测魔力象限报告,在每年的四月份发布。今年可能是因为疫情的原因,推迟到了五月底才发布。我们将去年和今年魔力象限报告的放在一起对比,可以更加清楚的看出应用安全检测厂商的发展趋势和变化。
2020年Gartner应用安全检测魔力象限图
2021年Gartner应用安全检测魔力象限图
与去年相比,领导者象限逐步演化成两个阵营,Synopsys,Veracode,CheckMarx 成为第一阵营,这三间公司都是在魔力象限的领导者位置成名已久。
Synopsys 2014年3.7亿美金收购了Coverity之后,2015年进入Gartner应用安全测试领域魔力四象限之后,便一路向前,2019年成为该领域的领头羊,并且在这些年不断扩大领先优势。
Veracode也是可以说是一个老牌的静态分析工具,他的特点是通过二进制分析安全缺陷。早在2009年就进入了Gartner的静态安全检测魔力四象限,从2010起就一直在领导者象限打拼,但始终被Fortify,Coverity压着,始终处于第三,第四的位置,可以说是常年老三。
CheckMarx可以说是应用安全测试中少数的非欧美(基本上全是美国的)国家的产品(以色列,但主要的控股财团还是美国公司)。只有我国的绿盟(NSFOCUS)在2015到2017年进入过特定领域象限。美国在应用安全检查的这个领域有着绝对的优势和控制权,应用安全检查是高科技领域资金看好的投资区域,象限中的公司即便不是美国的公司,主要的资金来源也是美国财团。CheckMarx 从2010年开始进入该领域的魔力象限,到2018年终于进入到领导者象限。个人觉得CheckMarx之所以能够这么快的发展起来,与工具推行的使用简单的方式完成安全检查有很大关系。可以让用户快速完成规则的修改,采用探索的方式降低规则的误报,通过这种方式把降低误报的工作交由用户自己来完成,这样大大提升了用户的满意度。
排在第二梯队的是HCL Software和Micro Focus。HCL Software在2019年初以18亿美金收购了IBM的Appscan,并于2020进入Gartner魔力象限的有远见者象限,今年就立刻进入了领导者象限了。
而第二梯队的Micro Focus的静态检查工具Fortify自2017年从HP卖给Micro Focus之后,正逐步下滑,与第一梯队的差距正逐步拉大。Fortify在2006年做为最早进入中国市场的商用静态检查工具,曾经是我们学习和膜拜的大神,似乎正慢慢的走下神坛,真让人担心明年会不会跌出领导者的地位。
在今年的魔力象限图中,增加了四家公司:Data Theorem,GitHub,Invicti,Snyk。
而CAST 在2019-2020年进入魔力象限的特定领域之后,今年却没能继续出现。CAST是一家法国公司,是这应用安全检查领域少数的欧洲国家之一。CAST 是目前唯一个遵守了ISO 5055(软件代码评估标准)的检查工具(参考:自动源代码质量度量(ISO/IEC 5055),同时也遵守了CISQ标准。(参考:话说CWE 4.2的新视图,话说CWE 4.3的新视图 - 数据保护检查)。是一个有着不错质量理论做支撑的检查工具,但应该是该工具缺少动态检查(DAST)和交互检查(IAST)的能力,而没能继续在这个领域的魔力象限中出现。
今年的Gartner应用安全的检查魔力象限,从以往的静态应用安全检查(SAST),动态应用安全检查(DAST),交互引用安全检查(IAST),以及软件组件检查(SCA),考虑到这几年应用安全发展的特点增加了: