静态应用程序安全测试(SAST)重新流行起来,因为预发布安全测试利用了软件交付生命周期(SDLC)早期的持续集成自动化。因为SAST不需要运行代码;它可以集成到ide等开发工具中,为开发人员提供关于如何补救安全弱点的信息,减少开发时间和补救工作。这种与开发人员工具和流程紧密集成的需求让许多供应商苦苦挣扎。

市场的另一个重大变化是,现在越来越多的买家表示,他们更愿意购买最佳的工具,而不是只与一家应用程序安全组合供应商合作。这些和其他市场变化产生了与Forrester 2014年的应用安全浪潮截然不同的结果,我们在2014年的应用安全浪潮中评估了整个测试市场。

以下是今天早些时候发布的《the Forrester Wave™:静态应用程序安全测试,2017年第四季度》中最引人注目的发现:

  • 产品文档创造了公平的竞争环境。文档显示了供应商愿意支持的内容,消除了演示中可能发生的任何误解,并避免了任何误导性的自定义工作。文档可能采用传统的产品手册、快速视频和白皮书形式,但无论如何,随着SAST转变为作为消费者的开发人员,供应商记录他们的产品以实现快速和有效的采用比以往任何时候都更重要。
  • 总拥有成本很重要。强文档的另一个原因是,如果没有它,很容易找到支持和不支持的解决方案,或者让客户为额外的培训或服务付费。就像那句古老的谚语,“如果一棵树倒在森林里,周围没有人听到,它会发出声音吗?”如果一个特性没有文档化,那么它真的存在吗?如果存在的话,需要多少投资才能使它有用?
  • 战略是前瞻性的。如今,成为一名领导者的条件与几年前大不相同。例如,在某些情况下,机器学习的新进展已经改变了SAST解决方案消除误报的能力,这在过去一直困扰着它们。但它可以做得更多。SAST中的机器学习可以应用于自动支持新的语言和框架,创建新的方法来确定补救工作的优先级,甚至创建补救措施(对于那些有大量弱点积压的组织来说尤其重要),或将自适应集成到开发人员工具中。随着应用程序安全测试市场的变化,供应商必须调整他们的愿景、路线图和人员来创造新的价值。
  • 开发者作为消费者是一些人的绊脚石。新浪潮中的许多需求都集中在产品无缝集成到流行开发工具(如IDE、Jira、Microsoft Team Foundation Server (TFS)/Visual Studio Team Services (VSTS)和Git)的能力上。如果没有与这些工具的集成,安全专业人员必须在SAST工具和开发人员工具的演进过程中,将工作作为一个自己动手的项目来完成,并提供任何集成支持。

如果您想了解更多关于SAST市场的信息,请查看供应商环境:应用程序安全性测试而新发布的Forrester Wave™:静态应用安全测试,2017年第四季度