自从我们去年的魔力象限,应用安全测试(AST)市场已经持续目睹了重大的,根本性的变化,并大大增加了市场的规模和范围。此外,当前的厂商面对着新的竞争压力,随着很多传统上与AST无关的厂商进入到市场。其他结构性的变化包括持续采用新的应用形式因素(例如,容器化。对 API更大的依赖,移动和云原生),要求新的测试和安全能力。我们也已经观察到购买中心的持续移动,预算,开发人员和工程团队每天对他们开发的代码安全承担更大的责任,特别是在很多成熟的组织中,这些改变反映在魔力象限入围厂家的选择上,以及他们提供的功能。
因为新冠疫情,Gartner 最初预测在2020年,AST支出将温和的、暂时地走弱。基于公司结果和其他调查数据,这个放缓并没有发生。事实上,在数字化关注的提高,(数字化常常都是由软件支持)在应用安全工具,刺激了更多的兴趣和花费。许多厂商报告了收入的增加,同比20%到30%的增长。
市场的本质已经变化,传统上我们通过静态,动态和交互式AST工具来看待这个市场。虽然这些工具仍然是应用安全程序的主要力量,但也加入了很多其他的工具,包括软件成分分析,移动测试,关键业务(SAP ,Salesforce)应用测试,API测试,容器扫描,基础设施即代码扫描,在应用和云安全之间的界线开始模糊了。
市场空间
考虑到所有这些因素,Gartner 估计在这个扩张的AST市场,2020年终端用户在这方面的支出,全球范围内达到22亿美元。我们将2021年增长率预测提高到了的18%,2021年达到26亿美元。地理上,市场还是以北美为中心,占到四分之三的份额。随着时间,我们估计其他区域的消费,主要是欧洲和澳大利亚,其他东南亚国家,会占到一半的销量。这些更新会体现在Gartner 的预测分析:全球信息安全和风险管理,2021年第二季度发布。
在几种情况下,厂商尝试提高价格推动更强的需求。至少在短期,确实尝到了甜头,在接下来的三年,我们希望看到巨大的市场力将推动价格下降。就像已经观察到的情况,传统的厂商,面对来自大的云和网络安全公司和开源工具的低价格新的竞争压力。虽然价格下降,我们估计需求增长和更宽的市场渗透将支持积极的增长目标。
合并和收购
在市场内的合并和收购,加强了去年趋势的加速,非传统的竞争者在AST领域继续深耕。首先开始于应用开发厂商GitLab,收购工具,扩充其AST功能。在2020年,GitLab在收购Peach Tech和Fuzzit的基础上, 在6月份宣布,扩充了动态和模糊测试能力。同时,GitHub在2019年收购了Semmle(静态代码扫描),和Dependabot(软件成分分析)。
网络和云安全厂商也在收购,扩充他们的业务,进入DevOps的开发元素。2021年2月,Palo Alto网络继续收购活动,宣告花费1.56亿美元收购Bridgecrew,Bridgecrew优势在基础架构即代码安全工具,并创建了开源产品checkov基础设施即代码扫描器。这个收购基于以往的收购,容器安全厂商Twistlock(2019年7月,四亿美元),无服务器应用安全公司PureSec(2019年6月,金额未披露)。思科也进军这个市场,2020年10月收购K8s安全专家Portshift,我们希望看到像这样的厂商变化,再加上容器化和云原生应用的普及,将显著地提高传统AST平台厂商的竞争压力。
当前的市场活动非常活跃:
2021年1月,Rapid7收购了kubernetes 安全专家AIcide。早在2020年5月,收购Divvycloud,对云原生应用提供多种安全合规能力,包括扩充到基础设施及代码扫描。
IAST和运行时自我防护(RASP)专家,Contrast Security扩充了产品范围,2020年11月,收购初创公司,CloudEssence增加了云原生应用安全支持。
2020年9月,Snyk收购Deepcode,一个基于AI(语义分析)代码检查工具,在10月,以Snyk Code的名字重新发布。
Sonarsource,它的Sonarqube 代码质量分析工具有时被用来做安全测试,在2020年5月,收购了高级安全专家RIPS Technologies,关注 PHP,Java,Node.JS安全测试。
行业老牌厂商,Checkmarx ,在4月,被私募公司hellman&friedman以11.15亿美元估值,从私募公司Insight Partners手中收购。
结论
因为新冠疫情,Gartner 最初预测在2020年,AST支出将温和的、暂时地走弱。基于公司结果和其他调查数据,这个放缓并没有发生。事实上,在数字化关注的提高,(数字化常常都是由软件支持)在应用安全工具,刺激了更多的兴趣和花费。许多厂商报告了收入的增加,同比20%到30%的增长。
市场的本质已经变化,传统上我们通过静态,动态和交互式AST工具来看待这个市场。虽然这些工具仍然是应用安全程序的主要力量,但也加入了很多其他的工具,包括软件成分分析,移动测试,关键业务(SAP ,Salesforce)应用测试,API测试,容器扫描,基础设施即代码扫描,在应用和云安全之间的界线开始模糊了。
市场空间
考虑到所有这些因素,Gartner 估计在这个扩张的AST市场,2020年终端用户在这方面的支出,全球范围内达到22亿美元。我们将2021年增长率预测提高到了的18%,2021年达到26亿美元。地理上,市场还是以北美为中心,占到四分之三的份额。随着时间,我们估计其他区域的消费,主要是欧洲和澳大利亚,其他东南亚国家,会占到一半的销量。这些更新会体现在Gartner 的预测分析:全球信息安全和风险管理,2021年第二季度发布。
在几种情况下,厂商尝试提高价格推动更强的需求。至少在短期,确实尝到了甜头,在接下来的三年,我们希望看到巨大的市场力将推动价格下降。就像已经观察到的情况,传统的厂商,面对来自大的云和网络安全公司和开源工具的低价格新的竞争压力。虽然价格下降,我们估计需求增长和更宽的市场渗透将支持积极的增长目标。
合并和收购
在市场内的合并和收购,加强了去年趋势的加速,非传统的竞争者在AST领域继续深耕。首先开始于应用开发厂商GitLab,收购工具,扩充其AST功能。在2020年,GitLab在收购Peach Tech和Fuzzit的基础上, 在6月份宣布,扩充了动态和模糊测试能力。同时,GitHub在2019年收购了Semmle(静态代码扫描),和Dependabot(软件成分分析)。
网络和云安全厂商也在收购,扩充他们的业务,进入DevOps的开发元素。2021年2月,Palo Alto网络继续收购活动,宣告花费1.56亿美元收购Bridgecrew,Bridgecrew优势在基础架构即代码安全工具,并创建了开源产品checkov基础设施即代码扫描器。这个收购基于以往的收购,容器安全厂商Twistlock(2019年7月,四亿美元),无服务器应用安全公司PureSec(2019年6月,金额未披露)。思科也进军这个市场,2020年10月收购K8s安全专家Portshift,我们希望看到像这样的厂商变化,再加上容器化和云原生应用的普及,将显著地提高传统AST平台厂商的竞争压力。
当前的市场活动非常活跃:
2021年1月,Rapid7收购了kubernetes 安全专家AIcide。早在2020年5月,收购Divvycloud,对云原生应用提供多种安全合规能力,包括扩充到基础设施及代码扫描。
IAST和运行时自我防护(RASP)专家,Contrast Security扩充了产品范围,2020年11月,收购初创公司,CloudEssence增加了云原生应用安全支持。
2020年9月,Snyk收购Deepcode,一个基于AI(语义分析)代码检查工具,在10月,以Snyk Code的名字重新发布。
Sonarsource,它的Sonarqube 代码质量分析工具有时被用来做安全测试,在2020年5月,收购了高级安全专家RIPS Technologies,关注 PHP,Java,Node.JS安全测试。
行业老牌厂商,Checkmarx ,在4月,被私募公司hellman&friedman以11.15亿美元估值,从私募公司Insight Partners手中收购。
结论
