Gartner已经观察到AST市场进化的主要驱动力，来自于需要支持企业级DevOps。客户要求提供高保证、高价值发现、而且不能拖累开发的产品。客户希望产品尽早地适用开发流程，测试常常由开发人员驱动，而不是安全专家。因此，在整个软件开发生命周期（SDLC）中，能够以越来越自动化的方式，集成快速和精准的测试，这个市场评估的重点更多地放在了买家的需求上。

数据源：Gartner 2021年5月

入围和淘汰标准
对于Gartner客户，魔力象限和关键能力研究识别、分析市场上与之紧密相关的厂商和产品。缺省上限为20个厂家，也会根据要求调整。入围的标准，代表了分析者认为对此研究有必要的特定属性。下面是2020年11月21日的标准：
市场参与：
提供专门的AST方案（产品，服务，或者两者兼有），至少涵盖以下四种AST功能中的两种：SCA，SAST，DAST，IAST，细节见市场定义/描述部分。
至少提供这些额外能力的一种，基础设施即代码测试，容器测试，模糊测试，API测试，或者在云原生环境中的使用，如AWS，Azure，GCS。
市场追踪
在过去的四个季度，AST收入至少为2500万美元,包括2000万美元在北美/欧洲，中东和非洲（除掉专业的服务收入）。
和Gartner客户相关的技术能力
提供可重复、持续的、基于订阅方式的参与模式（如果厂商提供AST即服务），主要使用自己的测试工具，实现测试能力。技术能力必须包括：侧重点在安全测试，识别软件安全漏洞，根据OWASP和其他常见漏洞定义的报告模板。通过插件、API、命令行集成CI/CD工具（如Jenkins），和缺陷跟踪工具，（如Jira）。对开发人员在漏洞修复方面的指导。
SAST 产品/服务
支持常见的开发语言（Java，C#，PHP，JavaScript）
至少支持Eclipse，Visual Studio IDE，intelliJ IDEA插件
DAST产品/服务
提供单机运行的AST方案，具有专门的web应用层动态扫描能力
支持web 脚本编写和自动化工具，如Selenium
IAST产品/服务
支持Java，.NET 应用
SCA产品/服务
扫描常见的恶意软件能力
扫描过期的漏洞库能力
容器
集成应用注册和容器注册的能力
扫描开源成分中已知的漏洞，并和CVE关联
基础设施即代码支持
在部署之前做静态测试
监控运行环境中的安全违规
容器支持
扫描容器中的开源漏洞
在代码payload中，发现常见漏洞
模糊测试
自动化，持续的模糊测试
支持C，C#，Java，Golang
API 测试
测试对API暴力和访问
测试API滥用和凭证填充
云原生支持
支持主要的公有云（Azure，AWS，GCP）
和Gartner客户有关的业务支持能力
有电话、电子邮件、web客户支持。必须提供联系方式、门户网站、技术文档、使用英文的客户支持（或者客户所在地的官方语言）。
出局标准
在此次报告中，如果一个厂家功能受限于下，将被排除：
只支持移动平台、单一平台/编程语言
提供服务，但并不是以可重复，预定义订阅为基础。—例如，提供定制咨询应用测试服务、协议渗透测试、专业服务
提供网络漏洞扫描，但不提供单机AST能力，或只提供有限的web应用层动态扫描
只提供协议测试，模糊测试方案，调试器，内存分析器，攻击生成器。
主要提供运行时安全防护
聚焦应用代码质量和完整性测试方案，或有限AST 能力的基本安全测试方案
开源软件考虑
魔力象限用来评估在市场上商业产品，销售执行、远景、营销和产品支持，不包括评估开源软件、或重度依赖开源工具，和开源工具打包的的厂商产品。
其他玩家
好几个厂家，属于AST领域，或者和AST有重叠，但没有被包含在这个报告里面。这个厂家当前并不符合我们的入围标准，但他们或者提供了AST功能，或满足了特定的AST需求及场景。
这些厂家产品范围从咨询和专业服务，到相关方案范畴，包括：
关键业务应用安全
应用安全编排和关联（ASOC）
应用安全要求和威胁管理（ASRTM）
Crowdsource安全测试平台（CSSTPs）
只有API安全方案
只有容器安全方案

评估标准（魔力象限横轴和纵轴的解释）
这是如何评估组织和产品的标准，评估标准和权重告诉你支持Gartner市场观点的特定的属性和他们的相对重要性，也会用来评估在这个报告中的厂家。
执行能力（纵轴）
• 产品或服务：这个标准评估服务/竞争于指定市场的核心产品和服务。包括当前的产品和服务能力、质量、功能集、技巧等。可以自主开发，也可以OEM/合作伙伴。在市场定义/描述中定义和在子标准中已经详细说明。这个标准特别评估当前核心的AST产品/服务能力，质量和精确度，功能设置。效率和质量，集成到SDLC中也被评估。
•整体可行性：包括整体的财务健康，业务单元的财务和实际运行情况，评估组织持续提供产品及服务和持续投资的可能性，在厂家所有产品中的定位，我们也看对AST产品的重视程度、增长、估计的市场份额、客户基础等。
•销售执行/报价：这个标准看组织所有售前活动的能力，提供支持的架构。包括交易管理、报价、谈判、售前支持、整个销售渠道的有效性。
我们考察厂家面对简单或复杂项目时，如何在报价和技术支持上，体现他们的能力。评估包括客户对销售支持、报价、谈判的反馈。
•市场反应能力/记录：这个标准评估反应能力、改变方向的能力，随着机会发展、友商的行为变化、客户需求进化、市场动态的演变，灵活调整并实现竞争胜利。也考虑厂商对市场需求变化的反应历史。评估厂商更多的应用安全能力，符合企业的功能要求，当市场有新的要求，交付创新功能的历史记录。
•市场执行：这个标准，评估厂商为了影响市场而传递给市场的一些信息，包括清晰度、质量、创新性、程序效率等。推动品牌、提高产品意识、在客户头脑中建立一个主动的形象。通过宣传促销、领导地位、社交媒体、推荐、销售活动等、实现对客户心智的占领，我们评估了厂家在安全专家心中的的声誉和名誉。
•客户体验：我们考察了使客户达到预期结果的产品、服务和程序。特别包括质量供应商/买家互动、技术支持、客户支持。也包括附带工具、客户支持程序、用户组、服务水平协议等等。
•运营：这个标准评估组织完成目标和承诺的能力。包括组织结构的质量、技巧、经验、程序、系统，以及其他能有助于组织运作的更有效和高效的因素。

前瞻性（横轴）
• 市场理解：这个指理解客户需求，并将之转变成产品和服务的能力。厂商听取和理解客户需求，展示了对市场清晰远景，根据他们增加的远景，能够塑造、增强市场的改变。包括厂商理解买家需求，把他们转变成有效和有用的AST产品及服务。还要考察厂商在这个市场的关键能力，我们评估其重要性的意识为：
和SDLC集成。（包括新兴的，更灵活的方法）
第三方和开源组件的评估
工具的易用性，和企业架构及流程的集成
如何把这个意识转变成AST的产品和服务
• 销售策略：使用合适的网络，有效的策略来销售产品。包括直接或间接销售、市场营销、服务、沟通。此外，寻找能够扩展市场范围和深度、技术、服务、厂商的客户基础、专业性的合作伙伴。特别是看一个厂商如何通过方案展示给市场，并能够实现销售。例如，借助于合作伙伴和分销商，安全报告，互联网渠道等。
•市场营销策略：我们寻找有差异化的、信息清晰、持续的内部交流。在外部，通过社交媒体、广告、客户程序和定位描述来表达，也需要考虑企业符合新兴市场需求的知名度和可信度。
•产品策略：我们寻找产品开发和交付的方法，其强调市场的差异性、功能、方法符合当前和未来的需求。特别的是，我们看到了AST提供的产品和服务，其范围和模块化能如何满足不同客户的需求，和不同的测试程序的成熟度水平。我们评估厂商开发和交付的方案，和竞争对手的差异性，如何独特的解决关键用户的需求，软件如何集成相关的、非AST的功能，提高整体的应用安全。
•商业模式：评估设计、逻辑、实现持续成功的业务主张。
•垂直/行业战略：我们评估了直接资源（销售，产品，开发）的战略，符合细分市场和垂直市场特定需求的技巧和产品。
•创新：我们寻找直接、相关的、互补和协同的资源布局，利用专业知识或资本，来实现投资，巩固、防御或先发制人的目的。特别是，我们评估厂家如何创新去解决新兴的客户需求，如支持DevOps测试，API安全测试，无服务器的，微服务架构。我们也评估使安全测试更精确的开发方法。我们重视IAST领域的创新，但容器、培训、和开发者当前所使用的软件开发方法集成同样重要。
•地理战略：这个标准评估厂商对直接资源、技巧、具体满足本土之外地理区域的客户特定需求的战略，直接或者通过合作伙伴、渠道、和子公司，适合当地市场的方式。我们评估全球范围内的可用性和支持，包括使用本地语言对工具、控制台、客户服务的支持。

象限描述
领导者
在AST市场的领导者，证明着AST产品和服务的广度和深度。领导者典型地提供成熟的，有声誉的SAST/DAST/IAST/SCA产品，通过一个清晰的，规划好的路径支持现代开发人员增长的需要，来证明自己的远见。领导者在他们的方案中，提供对API 测试，基础设施即代码，模糊测试，容器支持，云原生开发支持。领导者也应该给组织提供用来测试的AST即服务和本地运行的交付模型，或一个企业级的报告框架，支持多个用户、组和角色，理想上通过一个单一管理控制台实现。领导者应该能够支持移动应用的测试，在他们提供的核心AST 技术上，展示强大的执行力。尽管在某些领域比较擅长，领导者应该提供一个强大的市场占有率、增长率和客户留存率完整的平台。
挑战者
在魔力象限中的挑战者，是具有持续执行力的厂商，常常在特定领域占有优势（例如SAST，DAST，IAST），或关注单一交付模型（例如，只提供AST即服务）。此外，和领导者对比，他们还证明了在特定关注领域，显著的竞争性能力，也用客户群整体规模和增长，证明了他们的增长势头。
远见者
魔力象限中的远见者，具有强烈的远景，满足不断变化的市场需求。包括提供创新能力，更好的推动DevOps，和SDLC集成或识别漏洞。远见者也许不如挑战者及领导者具有持续的执行力。
利基者
利基者提供满足特定用户可行的、可依靠的方案，当考虑到买家在寻找让他们满意的、解决特别业务和技术场景、最好的、最合适的方案时，利基者表现的很好。利基者也许解决了整个市场的一个子集需求。当企业的关注点是某个重要的功能，或特定的厂商经验，或当他们已经和厂商建立了关系，会倾向于挑选利基者系。利基者一般关注一个特定类型的AST技术，或交付模型，或指定的地理区域。

背景
2021年应用安全测试魔力象限欢迎您。今年最显著的变化之一是厂商入围标准的扩充，从仅仅提供传统的AST工具（SAST/DAST/IAST/SCA）到包括API测试，移动安全测试，容器，基础设施即代码，其他解决云和现代应用的更宽广的视角。这反映了安全和开发团队对新工具的使用，本身也是对Gartner客户正在使用的开发类型多样性的一种反应，以及采用DevOps。新冠病毒已经加速了我们再过去三到四年一直遵循的趋势。在2020年，Gartner看到了一个明显的在容器安全和云原生应用问询的增加，对比2019年，提高了50%，而整个应用安全问询提高了20%。
其他常见的问询围绕着价格，对过高报价的埋怨和担心都超过了以往。市场趋势是竞争更激烈。这样的怨言会提醒厂家重新考虑价格，保证竞争力。在这期间，买家应该准备激烈的谈判，对不同意的条款和条件提出警报，对大多数，仅仅基于用户的报价模型会提供一个价值和成本的最佳平衡，也会避免负责的，难以管理的报价方式。