开发类型和进化,是设置2021年AST魔力象限上下文的一个好方法。看看这个市场和我们的客户,我们通常看到三类团队在使用AST:
安全开发早期阶段:这是目前为止AST产品最大的客户。几乎是其他两类加起来的两倍。在这个阶段的团队正在从把渗透测试作为主要的安全开发控制手段开始转变到使用标准的AST工具集,常常是SAST和SCA。他们在寻找可重复的,降低的风险开发,他们能迭代使用来建立,进而改善他们的流程。这些团队的大多数都是中小规模的企业,通常每年的收入在2亿美元以下。
安全开发中间阶段:下一个最大的使用团体已经建立了基本的流程,从基于关键性指标向基于风险的指标迈进。在这个阶段的团队,常常拥有了全部或者大多数基本工具,希望在整个流程和安全姿态中寻求增量的改进。他们希望增加模糊测试,威胁建模,代码签名,应用安全编排和关联(ASOC),API测试。常常中间阶段的团队在探索某种程度的云原生和微服务开发(常常采用K8s或Docker的形式),也有单页应用模式(SPA),但这还不是他们主要的交付成果。在2020年,这个团队加速采用这些技术。
高级安全开发:高级团队的特点是全部或大多数应用都采用基于容器和云原生开发。他们关注基础设施即代码,单页应用(API管理),CWPP和类似的工具来保护他们的应用。在这个团队内,常常分成两个小团体,其中比较小的团体是从中间阶段转移到高级阶段,特点是有很好实践的安全开发实践,对安全工具的使用非常自信。另一个团体是稍微大一些,是从云中诞生的开发团队,有一个快速的,灵活的开发风格,但还不习惯保护开发,这些团队正在从DevOps向DevSecOps转移。除了上述提到的工具,第二个团体常常需要培训,教练等方式,把安全带进这个团队(可看把安全集成到DevSecOps工具链)
2021年的AST魔力象限已经扩展到包括这些类型的每一类工具,包含安全开发的真正整体的视角。
安全开发早期阶段:这是目前为止AST产品最大的客户。几乎是其他两类加起来的两倍。在这个阶段的团队正在从把渗透测试作为主要的安全开发控制手段开始转变到使用标准的AST工具集,常常是SAST和SCA。他们在寻找可重复的,降低的风险开发,他们能迭代使用来建立,进而改善他们的流程。这些团队的大多数都是中小规模的企业,通常每年的收入在2亿美元以下。
安全开发中间阶段:下一个最大的使用团体已经建立了基本的流程,从基于关键性指标向基于风险的指标迈进。在这个阶段的团队,常常拥有了全部或者大多数基本工具,希望在整个流程和安全姿态中寻求增量的改进。他们希望增加模糊测试,威胁建模,代码签名,应用安全编排和关联(ASOC),API测试。常常中间阶段的团队在探索某种程度的云原生和微服务开发(常常采用K8s或Docker的形式),也有单页应用模式(SPA),但这还不是他们主要的交付成果。在2020年,这个团队加速采用这些技术。
高级安全开发:高级团队的特点是全部或大多数应用都采用基于容器和云原生开发。他们关注基础设施即代码,单页应用(API管理),CWPP和类似的工具来保护他们的应用。在这个团队内,常常分成两个小团体,其中比较小的团体是从中间阶段转移到高级阶段,特点是有很好实践的安全开发实践,对安全工具的使用非常自信。另一个团体是稍微大一些,是从云中诞生的开发团队,有一个快速的,灵活的开发风格,但还不习惯保护开发,这些团队正在从DevOps向DevSecOps转移。除了上述提到的工具,第二个团体常常需要培训,教练等方式,把安全带进这个团队(可看把安全集成到DevSecOps工具链)
2021年的AST魔力象限已经扩展到包括这些类型的每一类工具,包含安全开发的真正整体的视角。