Veracode es por novena vez consecutiva es líder en el Cuadrante Mágico de Gartner de 2022 para pruebas de seguridad de aplicaciones.

senha
Posted by on | Featured
LinkedIn
Veracode. Gartner define el mercado de pruebas de seguridad de aplicaciones (AST) como los compradores y vendedores de productos y servicios diseñados para analizar y probar aplicaciones en busca de vulnerabilidades de seguridad. Este mercado es muy dinámico y continúa experimentando una rápida evolución en respuesta a las cambiantes arquitecturas de aplicaciones y tecnologías habilitadoras.
En este análisis y en las evaluaciones de proveedores, continuamos aumentando nuestro enfoque en tecnologías y enfoques emergentes, y herramientas AST que abordan los nuevos requisitos que traen consigo . En general, el mercado comprende herramientas que ofrecen capacidades de prueba básicas, por ejemplo, pruebas estáticas, dinámicas e interactivas; análisis de composición de software (SCA); y varias capacidades especializadas opcionales.
Las herramientas AST se ofrecen como software local o, más a menudo, como ofertas de suscripción basadas en software como servicio (SaaS). Muchos proveedores ofrecen ambas opciones Las capacidades básicas ofrecen una funcionalidad de prueba fundamental, y la mayoría de las organizaciones utilizan uno o más tipos, que incluyen :
  • El AST estático (SAST) analiza la fuente, el código de bytes o el código binario de una aplicación en busca de vulnerabilidades de seguridad, generalmente durante las fases de programación y/o prueba del ciclo de vida de desarrollo de software (SDLC).
  • Dynamic AST (DAST) analiza las aplicaciones en su estado de ejecución (es decir, dinámico) durante las fases de prueba u operativas. DAST simula ataques contra una aplicación (generalmente aplicaciones habilitadas para la web, pero, cada vez más, también interfaces de programación de aplicaciones [API]), analiza las reacciones de la aplicación y, por lo tanto, determina si es vulnerable.
  • Interactive AST (IAST) instrumenta una aplicación en ejecución (por ejemplo, a través de Java Virtual Machine [JVM] o .NET Common Language Runtime [CLR]) y examina su funcionamiento para identificar vulnerabilidades. La mayoría de las implementaciones se consideran pasivas, ya que dependen de otras pruebas de aplicaciones para crear actividad. Las herramientas IAST luego evalúan.
  • SCA se utiliza para identificar componentes de código abierto y, con menos frecuencia, comerciales en uso en una aplicación. A partir de esto, se pueden identificar vulnerabilidades de seguridad conocidas, posibles problemas de licencias y riesgos operativos.
Las capacidades opcionales brindan formas de pruebas más especializadas y, por lo general, complementan las capacidades básicas según la cartera de aplicaciones de una organización o la madurez del programa de seguridad de aplicaciones. Incluyen:
  • Pruebas de API: las API se han convertido en una parte esencial de las aplicaciones modernas (por ejemplo, aplicaciones móviles o de una sola página), pero es posible que los conjuntos de herramientas AST tradicionales no las prueben por completo, lo que lleva a la necesidad de herramientas y capacidades especializadas. La capacidad de descubrir API en entornos de desarrollo y producción y probar el código fuente de la API, así como la capacidad de ingerir tráfico registrado o definiciones de API para respaldar la prueba de una API en ejecución, son funciones típicas.
  • Orquestación y correlación de seguridad de aplicaciones (ASOC): las herramientas de ASOC facilitan las pruebas y la corrección de vulnerabilidades de software al automatizar los flujos de trabajo y procesar los hallazgos. Automatizan las pruebas de seguridad dentro y a lo largo de los ciclos de vida y proyectos de desarrollo, al tiempo que incorporan datos de múltiples fuentes. Las herramientas de ASOC correlacionan y analizan los hallazgos para centralizar los esfuerzos y facilitar la interpretación, la clasificación y la corrección. Actúan como una capa de gestión y orquestación entre el desarrollo de aplicaciones y las pruebas de seguridad.
  • AST crítico para el negocio: en el contexto de aplicaciones comerciales a gran escala (por ejemplo, SAP, Oracle, Salesforce), identificar vulnerabilidades dentro del código de la aplicación (como ABAP u otros lenguajes de personalización específicos del proveedor), así como configuraciones incorrectas, vulnerabilidades conocidas y errores que resultan en exposiciones de seguridad.
  • Seguridad del contenedor: el escaneo de seguridad del contenedor examina las imágenes del contenedor, o un contenedor completamente instanciado antes de la implementación, en busca de problemas de seguridad. Las herramientas de seguridad de contenedores se centran en una variedad de tareas, incluidas tareas de evaluación de vulnerabilidades y fortalecimiento de la configuración. Las herramientas también buscan la presencia de secretos, como credenciales codificadas o claves de autenticación. Las herramientas de análisis de seguridad de los contenedores pueden funcionar como parte del proceso de implementación de la aplicación o integrarse con los repositorios de contenedores, de modo que se puedan realizar evaluaciones de seguridad a medida que las imágenes se almacenan para uso futuro.
  • Habilitación del desarrollador: las herramientas y funciones de habilitación del desarrollador ayudan a los desarrolladores y miembros del equipo de ingeniería en sus esfuerzos por crear un código seguro. Estas herramientas se enfocan principalmente en la capacitación en seguridad y la guía de remediación de vulnerabilidades, en forma independiente o integrada en el entorno de desarrollo.
  • Fuzzing las pruebas de Fuzz se basan en proporcionar información aleatoria, mal formada o inesperada a un programa para identificar posibles vulnerabilidades de seguridad, por ejemplo, bloqueos de aplicaciones o comportamiento anormal, pérdidas de memoria o desbordamientos de búfer, u otros resultados que dejan el programa en un estado indeterminado. Fuzzing, a veces llamado prueba no determinista , se puede usar con la mayoría de los tipos de programas, aunque es particularmente útil con sistemas que dependen de una cantidad significativa de procesamiento de entrada (por ejemplo, aplicaciones y servicios web, API).
  • Pruebas de infraestructura como código (IaC): Gartner define IaC como la creación, el aprovisionamiento y la configuración de la infraestructura de computación definida por software (SDC), red y almacenamiento como código fuente. Las herramientas de prueba de seguridad de IaC ayudan a garantizar el cumplimiento de los estándares comunes de fortalecimiento de la configuración, identifican problemas de seguridad asociados con entornos operativos específicos, localizan secretos integrados y realizan otras pruebas que respaldan los estándares específicos de la organización y los requisitos de cumplimiento.
  • Mobile AST (MAST): aborda los requisitos especializados asociados con la prueba de aplicaciones móviles, como las que se ejecutan en dispositivos que usan iOS, Android u otros sistemas operativos. Estas herramientas generalmente usan enfoques de prueba tradicionales (por ejemplo, SAST y DAST) que se han optimizado para admitir lenguajes y marcos comúnmente utilizados para desarrollar aplicaciones móviles y/o de Internet de las cosas (IoT). También prueban las vulnerabilidades y los problemas de seguridad exclusivos de esos entornos.
Gartner continúa observando que el principal impulsor en la evolución del mercado AST es la necesidad de respaldar las iniciativas de aplicaciones nativas de la nube y DevSecOps empresariales. Los clientes requieren ofertas que brinden hallazgos de alto valor y seguridad, sin ralentizar innecesariamente los esfuerzos de desarrollo. Los clientes esperan que las ofertas encajen antes en el proceso de desarrollo, y las pruebas suelen estar a cargo de los desarrolladores, en lugar de los especialistas en seguridad. Como resultado, esta evaluación de mercado se centra en gran medida en las necesidades del comprador, lo que implica el soporte de pruebas rápidas y precisas para varios tipos de aplicaciones, capaces de integrarse de manera cada vez más automatizada en los flujos de trabajo de entrega de software.
cuadrante magico de gart
VERACODE
Veracode es Líder en este Cuadrante Mágico. Veracode es un conocido proveedor de AST con una oferta completa de SaaS AST que incluye SAST, DAST, SCA e IAST.
Durante el año pasado, Veracode presentó una instancia de la Unión Europea (UE) residente en datos de su producto SaaS, capacidades de políticas flexibles que admiten casos de uso de gestión de riesgos de licencias de código abierto en SCA, una oferta de escaneo de API y gestión limitada de secretos en análisis dinámico.
Veracode es una buena opción para las organizaciones que buscan múltiples capacidades de AST, especialmente aquellas que necesitan el soporte de expertos de AST para aumentar su conocimiento interno de AST.
Fortalezas

  • La oferta DAST de la empresa se complementa con un servicio Veracode Discovery independiente, que escanea el perímetro de un cliente en busca de aplicaciones web previamente desconocidas.
  • Además de las fuentes habituales de datos de vulnerabilidad de código abierto, el producto SCA de Veracode es compatible con un motor de aprendizaje automático basado en procesamiento de lenguaje natural (NLP) que identifica de manera proactiva las vulnerabilidades y las fuentes de riesgo operativo en las bibliotecas de código abierto. Este esfuerzo de escaneo se extiende desde el análisis de compromisos de código hasta la revisión de registros, informes de errores y otras fuentes.
  • Veracode brinda un amplio soporte para las organizaciones que necesitan aumentar su conocimiento de AST, a través del equipo de consultoría de seguridad de Veracode que proporciona una guía detallada de remediación, el administrador de éxito del cliente de Veracode y la comunidad de clientes de Veracode más amplia.
  • Veracode ha realizado cambios bien pensados ​​en su oferta AST de larga data para adaptarse a los escenarios de DevOps. Algunos ejemplos son sus escaneos IDE bajo demanda, la adición de IAST en el IDE y la capacitación en seguridad experiencial para desarrolladores.
Precauciones

  • A diferencia de muchos otros proveedores de AST, Veracode no proporciona escaneo IaC, tiene soporte limitado para el escaneo de seguridad de contenedores y no proporciona fuzzing. Veracode ha sido más lento que algunos de sus competidores en agregar funcionalidad para respaldar las necesidades de seguridad de las aplicaciones más nuevas, como el escaneo de contenedores y el escaneo de seguridad de API.
  • Aunque Veracode se posiciona como un proveedor global, la mayor parte de los ingresos de la empresa provienen de América del Norte.
  • Veracode también solo ofrece su producto como SaaS, lo que limita sus posibilidades de entrada en mercados emergentes que aún no se sienten cómodos con la exposición de su código a la nube.

Los criterios de inclusión y exclusión

Para los clientes de Gartner, la investigación del Cuadrante Mágico y Capacidades Críticas identifica y luego analiza los proveedores más relevantes y sus productos en un mercado. Gartner usa, de manera predeterminada, un límite superior de 20 proveedores para respaldar la identificación de los proveedores más relevantes en un mercado. En algunas ocasiones específicas, el límite superior puede extenderse cuando el valor de investigación previsto para nuestros clientes podría verse disminuido. Los criterios de inclusión representan los atributos específicos que los analistas creen que son necesarios para su inclusión en esta investigación.
Para calificar para la inclusión, los proveedores debían cumplir con los siguientes criterios a partir del 22 de noviembre de 2021.
Participación en el mercado:
  • Proporcione una solución AST dedicada que admita al menos dos de las siguientes cuatro capacidades AST como se describe en la sección Definición/Descripción del mercado y las Capacidades técnicas relevantes para los clientes de Gartner:
    • Pruebas de seguridad de aplicaciones estáticas
    • Pruebas de seguridad de aplicaciones dinámicas
    • Pruebas de seguridad de aplicaciones interactivas
    • Análisis de composición de software
  • Y proporcione al menos una de estas capacidades adicionales:
    • Pruebas de API
    • Escaneo de seguridad de contenedores
    • Fuzzing
    • Infraestructura como prueba de código
    • Pruebas de seguridad de aplicaciones móviles
  • Además:
    • Los proveedores deben ajustarse a un modelo de compromiso consistente y repetible utilizando principalmente sus propias herramientas de prueba para habilitar las capacidades de prueba.
    • Las herramientas deben entregarse como software o dispositivo local, un dispositivo o contenedor basado en la nube, SaaS o alguna combinación de los tres factores de forma.
Tracción del mercado:
Durante los últimos cuatro trimestres (4T20 y los primeros tres trimestres de 2021):
  • Debe haber generado al menos $ 25 millones de ingresos de AST, incluidos $ 20 millones en América del Norte y/o EMEA (excluidos los ingresos por servicios profesionales).
Capacidades técnicas relevantes para los clientes de Gartner:
Específicamente, las capacidades técnicas deben incluir:
  • Una oferta enfocada principalmente en pruebas de seguridad para identificar vulnerabilidades de seguridad de software, con plantillas para informar contra OWASP Top Ten y otras definiciones y estándares de vulnerabilidades comunes.
  • Una oferta con la capacidad de integrarse mediante complemento, API o línea de comandos en entornos de desarrollador (complemento IDE/filtro de seguridad), herramientas de CI/CD (como Jenkins) y herramientas de seguimiento de errores (como Jira).
  • Soporte u orientación para desarrolladores para la corrección de vulnerabilidades.
  • Para productos y/o servicios SAST:
    • Compatibilidad con lenguajes de desarrollo comunes (p. ej., Python, Java, C#, PHP, JavaScript)
    • Proporcione un complemento directo para Eclipse, IntelliJ IDEA o Visual Studio IDE, como mínimo
  • Para productos y/o servicios DAST:
    • Proporcione una solución AST independiente con capacidades de escaneo dinámico de capa de aplicación web dedicada
    • Compatibilidad con herramientas de automatización y secuencias de comandos web, como Selenium
  • Para productos y/o servicios de IAST:
    • Soporte para aplicaciones Java y .NET
  • Para productos y/o servicios de SCA:
    • Capacidad para buscar vulnerabilidades comúnmente conocidas
    • Capacidad para buscar bibliotecas vulnerables desactualizadas
  • Para productos y/o servicios de escaneo de seguridad de contenedores:
    • Capacidad de integración con registros de aplicaciones y registros de contenedores
    • Capacidad para escanear los componentes del sistema operativo de código abierto en busca de vulnerabilidades conocidas y mapear las vulnerabilidades y exposiciones comunes (CVE)
  • Para soporte IaC:
    • Capacidad para realizar pruebas de código estático antes de la implementación
    • Evalúe los artefactos de IaC en busca de problemas de seguridad, como configuraciones incorrectas, secretos incrustados, servicios innecesarios u otros riesgos potenciales.
  • Para pruebas de fuzz
    • Capacidad para ejecutar pruebas de fuzz continuas y automatizadas
    • Soporte para lenguajes de programación comunes.
  • Para pruebas de API
    • Capacidad para proporcionar pruebas que identifiquen las vulnerabilidades asociadas con las API, como las articuladas en OWASP API Top Ten y guías similares.
    • Idealmente, la capacidad de admitir tipos y protocolos de API comunes y emergentes (p. ej., REST, GraphQL)
  • Para AST móvil
    • Capacidad para probar lenguajes y marcos comúnmente utilizados para aplicaciones móviles y/o IoT (p. ej., Swift, Java y Kotlin)
    • Capacidad para proporcionar pruebas que identifiquen vulnerabilidades asociadas con aplicaciones móviles, como las articuladas en OWASP Mobile Top Ten y guías similares.
  • Capacidades de negocios relevantes para los clientes de Gartner: Tener atención al cliente por teléfono, correo electrónico y/o web. Deben ofrecer contrato, consola/portal, documentación técnica y soporte al cliente en inglés (ya sea como el idioma predeterminado del producto/servicio o como una localización opcional).

Criterios de evaluación

Estos son los atributos sobre los que se evalúan los proveedores y sus productos. Los criterios de evaluación y los pesos indican las características específicas y su importancia relativa que respaldan la visión del mercado de Gartner y que se utilizan para evaluar comparativamente a los proveedores en esta investigación.

Habilidad para hacer

Producto o Servicio: Este criterio evalúa los bienes y servicios centrales que compiten y/o sirven al mercado definido. Esto incluye capacidades actuales de productos y servicios, calidad, conjuntos de características, habilidades y más. Estos bienes y servicios se pueden ofrecer de forma nativa o mediante acuerdos/asociaciones de OEM, como se define en la sección Definición/Descripción del mercado y se detalla en los subcriterios. Este criterio evalúa específicamente las capacidades, la calidad y la precisión y los conjuntos de características del producto/servicio central actual de AST. Además, se valoran la eficacia y la calidad de las capacidades auxiliares y la integración en el SDLC.
Viabilidad general: La viabilidad incluye una evaluación de la salud financiera general de la organización, así como el éxito financiero y práctico de la unidad de negocios. Evalúa la probabilidad de que la organización continúe ofreciendo e invirtiendo en el producto, así como la posición del producto en la cartera actual. Específicamente, observamos el enfoque del proveedor en AST, su crecimiento y participación de mercado estimada de AST, y su base de clientes.
Ejecución de ventas/Precio: este criterio analiza las capacidades de la organización en todas las actividades de preventa y la estructura que las respalda. Esto incluye la gestión de acuerdos, la fijación de precios y la negociación, el soporte de preventa y la eficacia general del canal de ventas.
Estamos analizando capacidades como la forma en que el proveedor admite pruebas de concepto u opciones de precios para casos de uso simples y complejos. La evaluación también incluye los comentarios recibidos de los clientes sobre las experiencias con el soporte de ventas, fijación de precios y negociaciones de los proveedores.
Capacidad de respuesta /registro del mercado: este criterio evalúa la capacidad de responder, cambiar de dirección, ser flexible y lograr el éxito competitivo a medida que se desarrollan las oportunidades, actúan los competidores, evolucionan las necesidades de los clientes y cambia la dinámica del mercado. También considera el historial de respuesta del proveedor a las cambiantes demandas del mercado. Evaluamos cómo las capacidades de seguridad de aplicaciones más amplias del proveedor coinciden con los requisitos funcionales de las empresas y el historial del proveedor en la entrega de funciones innovadoras cuando el mercado las demanda. También tenemos en cuenta el atractivo de los proveedores con tecnologías de seguridad complementarias a AST.
Ejecución de marketing: este criterio evalúa la claridad, calidad, creatividad y eficacia de los programas diseñados para transmitir el mensaje de la organización para influir en el mercado, promover la marca, aumentar el conocimiento de los productos y establecer una identificación positiva en la mente de los clientes. Esta mente compartida puede ser impulsada por una combinación de publicidad, actividad promocional, liderazgo intelectual, redes sociales, referencias y actividades de ventas. Evaluamos elementos como la reputación y la credibilidad del proveedor entre los especialistas en seguridad.
Experiencia del cliente: analizamos los productos y servicios y/o programas que permiten a los clientes lograr los resultados esperados. Específicamente, esto incluye interacciones proveedor/comprador de calidad, soporte técnico o soporte de cuenta. Esto también puede incluir herramientas auxiliares, programas de atención al cliente, disponibilidad de grupos de usuarios y acuerdos de nivel de servicio (SLA).
Operaciones: Este criterio evalúa la capacidad de la organización para cumplir metas y compromisos. Los factores incluyen la calidad de la estructura organizativa, las habilidades, las experiencias, los programas, los sistemas y otros vehículos que permiten que la organización funcione con eficacia y eficiencia.

Tabla Capacidad para ejecutar los criterios de evaluación

Criterios de evaluación Ponderación
Producto o servicio
Alto
Viabilidad general
Alto
Ejecución de Ventas/Precio
Alto
Capacidad de respuesta del mercado/Registro
Alto
Ejecución de marketing
Alto
Experiencia del cliente
Alto
Operaciones
Sin clasificar
A partir de abril de 2022
Fuente: Gartner (abril de 2022)

Integridad de la visión

Comprensión del mercado: se refiere a la capacidad del proveedor para comprender las necesidades del cliente y traducirlas en productos y servicios. Los proveedores que muestran una visión clara de sus mercados escuchan y comprenden las demandas de los clientes, y pueden dar forma o mejorar los cambios del mercado con su visión adicional. Incluye la capacidad del proveedor para comprender las necesidades de los compradores y traducirlas en productos y servicios AST efectivos y utilizables.
Además de examinar las competencias clave de un proveedor en este mercado, evaluamos su conocimiento de la importancia de:
  • Integración con SDLC (incluidos enfoques emergentes y más flexibles)
  • Evaluación de componentes de terceros y de código abierto
  • La facilidad de uso y la integración de la herramienta con la infraestructura y los procesos de la empresa.
  • Cómo se traduce esta conciencia en sus productos y servicios AST
Estrategia de marketing: buscamos mensajes claros y diferenciados que se comuniquen internamente de manera constante y se externalicen a través de las redes sociales, la publicidad, los programas para clientes y las declaraciones de posicionamiento. La visibilidad y credibilidad de la capacidad del proveedor para satisfacer las necesidades de un mercado en evolución también es una consideración.
Estrategia de Ventas: Buscamos una sólida estrategia de venta que utilice las redes adecuadas, incluyendo ventas directas e indirectas, marketing, servicio y comunicación. Además, buscamos socios que amplíen el alcance y la profundidad del alcance del mercado, la experiencia, las tecnologías, los servicios y la base de clientes del proveedor. Específicamente, observamos cómo un proveedor llega al mercado con su solución y la vende, por ejemplo, aprovechando socios y revendedores, informes de seguridad o canales web.
Estrategia de oferta (producto): buscamos un enfoque para el desarrollo y la entrega de productos que enfatice la diferenciación del mercado, la funcionalidad, la metodología y las características a medida que se asignan a los requisitos actuales y futuros. Específicamente, estamos analizando la oferta de productos y servicios de AST, y cómo su alcance y modularidad pueden cumplir con los diferentes requisitos de los clientes y los niveles de madurez del programa de prueba. Evaluamos el desarrollo y la entrega del proveedor de una solución que se diferencie de la competencia de una manera que aborde de manera única los requisitos críticos del cliente. También analizamos cómo las ofertas pueden integrar funcionalidades no AST relevantes que pueden mejorar la seguridad de las aplicaciones en general.
Modelo de negocio: este criterio evalúa el diseño, la lógica y la ejecución de la propuesta comercial de la organización para lograr el éxito continuo.
Estrategia vertical/industrial: Evaluamos la estrategia para dirigir los recursos (p. ej., ventas, productos, desarrollo), habilidades y productos para satisfacer las necesidades específicas de los segmentos de mercado individuales, incluidas las verticales.
Innovación: Buscamos disposiciones directas, relacionadas, complementarias y sinérgicas de recursos, experiencia o capital con fines de inversión, consolidación, defensa o prevención. Específicamente, evaluamos cómo los proveedores están innovando para abordar los requisitos cambiantes de los clientes para respaldar las pruebas de las iniciativas DevOps, así como las pruebas de seguridad de API y la arquitectura sin servidor y de microservicios. También evaluamos el desarrollo de métodos para que las pruebas de seguridad sean más precisas. Valoramos las innovaciones en AST, pero también en áreas como contenedores, formación e integración con la metodología de desarrollo de software de los desarrolladores.
Estrategia geográfica: este criterio evalúa la estrategia del proveedor para dirigir recursos, habilidades y ofertas para satisfacer necesidades específicas de geografías fuera del “hogar” o geografía nativa, directamente o a través de socios, canales y subsidiarias, según corresponda para esa geografía y mercado. Evaluamos la disponibilidad mundial y el soporte para la oferta, incluido el soporte en el idioma local para herramientas, consolas y servicio al cliente.

Tabla Completitud de los criterios de evaluación de la visión

Criterios de evaluación Ponderación
Comprensión del mercado
Alto
Estrategia de mercadeo
Alto
Estrategia de ventas
Medio
Estrategia de oferta (producto)
Alto
modelo de negocio
Sin clasificar
Estrategia vertical/industrial
Sin clasificar
Innovación
Alto
Estrategia Geográfica
Alto
A partir de abril de 2022
Fuente: Gartner (abril de 2022)

Descripciones de cuadrantes

Líderes

Los líderes en el mercado de AST demuestran la amplitud y profundidad de los productos y servicios de AST. Por lo general, proporcionan SAST/DAST/IAST/SCA maduros y de buena reputación y demuestran una visión a través de un camino claro y bien articulado para respaldar las crecientes necesidades de los desarrolladores modernos. Los líderes ofrecen soporte para herramientas como pruebas de API, IaC, fuzzing, soporte de contenedores y soporte de desarrollo nativo en la nube en sus soluciones. Por lo general, también brindan a las organizaciones modelos de entrega locales y AST como servicio para pruebas,así como un marco de informes de clase empresarial para admitir múltiples usuarios, grupos y roles, idealmente a través de una única consola de administración. Los líderes deben poder respaldar las pruebas de aplicaciones móviles y deben exhibir una ejecución sólida en las tecnologías centrales de AST que ofrecen. Aunque pueden sobresalir en categorías específicas de AST, los líderes deben ofrecer una plataforma completa con una sólida presencia en el mercado, crecimiento y retención de clientes.

retadores

Los retadores en este Cuadrante Mágico son proveedores que han ejecutado consistentemente, a menudo con fuerza en una tecnología en particular (por ejemplo, SAST, DAST o IAST) o centrándose en un único modelo de entrega (por ejemplo, en AST solo como servicio). Además, han demostrado capacidades competitivas sustanciales frente a los líderes en su área de enfoque particular y han demostrado impulso en su base de clientes en términos de tamaño y crecimiento general.

visionarios

Los visionarios en este Cuadrante Mágico son proveedores de AST con una visión sólida que aborda las necesidades cambiantes del mercado. Los proveedores visionarios brindan capacidades innovadoras para admitir DevOps, contenedores, desarrollo nativo de la nube y tecnologías emergentes similares. Los visionarios pueden no ejecutar tan consistentemente como los líderes o los retadores.

Jugadores de nicho

Niche Players ofrece soluciones viables y confiables que satisfacen las necesidades de compradores específicos. A los jugadores de nicho les va bien cuando son considerados por compradores que buscan “lo mejor de su clase” o “mejor ajuste” para abordar un caso de uso comercial o técnico particular que coincida con el enfoque del proveedor. Los jugadores de nicho pueden abordar subconjuntos del mercado general. Las empresas tienden a elegir jugadores de nicho cuando el foco está en algunas funciones críticas , o en la experiencia de un proveedor específico, o cuando tienen una relación establecida con un proveedor en particular. Los jugadores de nicho generalmente se enfocan en un tipo específico de tecnología AST o modelo de entrega, o una región geográfica específica .

Contexto

Bienvenido al Cuadrante Mágico de 2022 para pruebas de seguridad de aplicaciones. Muchas de las tendencias que identificamos en el Cuadrante Mágico del año pasado (madurez de la seguridad, uso de herramientas y organizaciones que se trasladan cada vez más a la nube) continuaron evolucionando y son temas aún más importantes en la actualidad. En 2021, hablamos sobre la madurez del equipo en términos de las fases Temprana, Intermedia y Avanzada, que se resumen brevemente a continuación.
Fase
Descripción
Temprano
Los equipos en esta fase están haciendo la transición de tener pruebas de penetración como su principal control de desarrollo seguro, a usar herramientas del conjunto de herramientas AST estándar, a menudo SAST y SCA.
Intermedio
Los equipos han establecido un proceso básico y están pasando de un conjunto de métricas “basadas en la criticidad” a métricas “basadas en el riesgo”. Los equipos en esta fase generalmente tienen todas o la mayoría de las herramientas básicas y buscan realizar mejoras incrementales en el proceso general y la postura de seguridad. Más allá de SAST/DAST/SCA, normalmente vemos un mayor uso de IAST (y, a veces, RASP), pruebas de API, fuzzing y trabajo inicial en IaC y herramientas de seguridad de contenedores.
Avanzado
Los equipos avanzados se caracterizan por un desarrollo totalmente o en su mayoría basado en contenedores y nativo de la nube. Por lo general, las aplicaciones en contenedores o nativas de la nube han pasado de la etapa de prueba de concepto (POC) al entorno de producción completo. Además de las herramientas de las etapas anteriores, vemos un enfoque en la gestión de la postura de seguridad (CSPM), la plataforma de protección de la carga de trabajo en la nube (CWPP)/herramientas CSPM y CNAPP.
Esto continúa manteniéndose en 2022, aunque hay algunos cambios. El grupo de la fase temprana sigue siendo el más grande; sin embargo, es más pequeño en relación con el año pasado y representa aproximadamente la mitad del volumen de consultas (por debajo de aproximadamente dos tercios), y los otros dos dividen el resto. Esto se refleja en algunos de los temas que vemos de los clientes.
Mudarse a la nube:Vemos que más organizaciones finalmente hacen la transición de las instalaciones a la nube en producción. Aunque este ha sido durante mucho tiempo el ámbito de los pilotos y los POC, las aplicaciones se están moviendo cada vez más desde su entorno existente y la defensa en profundidad hacia la nube. Gartner está viendo cada vez más que los desarrolladores y los equipos de seguridad no entienden bien la superficie de ataque de la nube y las opciones de defensa. El contexto de seguridad para la aplicación ha cambiado, pero el grado de cambio y las opciones de defensa en profundidad que ofrecen los proveedores de la nube no siempre se entienden. En parte, esto está relacionado con otro problema: es posible que los equipos de seguridad no estén al tanto del desarrollo en contenedores y sus opciones de seguridad. Dado que tanto los desarrolladores como los equipos de seguridad avanzan a un ritmo acelerado, ninguno tiene mucho tiempo libre para comprender los detalles y las consecuencias de la tecnología del otro equipo. Esto puede conducir a demoras y exposición incómodas y costosas.
Los proveedores de AST agregan cada vez más utilidades de seguridad nativas de la nube a sus carteras, y hemos estado desarrollando los criterios del Cuadrante Mágico para que coincidan. Muchos de esos proveedores están trabajando con equipos de seguridad para ponerlos al día sobre las opciones. Sin embargo, la industria aún no está donde debe estar. Vemos que los entrenadores de seguridad (consulte DevOps Security Coaches ayudan a las organizaciones a obtener apalancamiento sin capacitar a todos juegan un papel importante aquí, actuando como un puente entre ambos equipos, pero a menudo es un trabajo pesado para los desarrolladores que son entrenadores a tiempo parcial.
Métricas basadas en el riesgo: una tendencia importante que vimos en 2021 y un indicador de la creciente madurez del mercado DevSecOps es el creciente énfasis en las métricas basadas en el riesgo. Muchos equipos de fase inicial utilizan la criticidad de la vulnerabilidad como métrica, y este es un buen comienzo. Es una aproximación útil para el riesgo, por ejemplo, los 10 principales de OWASP son a menudo las vulnerabilidades más riesgosas, si son accesibles. Sin embargo, el riesgo y la criticidad pronto divergen y, de los dos, el riesgo sobrevive mejor a los cambios de contexto y es entendido de manera más amplia por la alta gerencia.
Lamentablemente, los cálculos de riesgos de seguridad reales que son intercambiables con otras medidas, como el riesgo comercial, son exclusivos de cada organización, ya que dependen de los detalles de implementación, como la medida de defensa en profundidad y las medidas de respuesta a incidentes. En todo el panorama de proveedores, vemos un reconocimiento creciente de que el riesgo está jugando un papel cada vez más importante en la toma de decisiones de seguridad, y esperamos que esta tendencia continúe en 2022 .

Visión general del mercado

El mercado de pruebas de seguridad de aplicaciones continúa creciendo y evolucionando rápidamente, en gran medida siguiendo las líneas descritas en el Cuadrante Mágico del año pasado. En un nivel alto, se observan tres tendencias:
  • Crecimiento rápido continuo y mayor complejidad competitiva
  • Ampliación en el alcance de las pruebas requeridas
  • Un énfasis en el cambio de muchas funciones de seguridad de aplicaciones directamente a las manos de los equipos de desarrollo y operaciones.
Crecimiento y complejidad: un análisis del gasto de los usuarios finales dentro del mercado muestra que los gastos de los usuarios finales alcanzaron los 2600 millones de dólares en 2021, un aumento interanual del 20 %. Esa tasa de crecimiento superó las expectativas y refleja una fuerte demanda subyacente. Geográficamente, el mercado de América del Norte creció en tamaño, aunque su participación general en el mercado disminuyó (del 73 % al 68 %) a medida que aumentó el crecimiento de la participación de mercado en Europa y el Reino Unido (17 %) y la región APAC (12 %).
Los impulsores del mercado, centrados en el aumento de los mandatos normativos y de cumplimiento y un reconocimiento cada vez mayor de los riesgos asociados con el software, permanecen. Una variedad de ataques de alto perfil a la cadena de suministro de software subrayaron esos riesgos y, al menos en los EE. UU., provocaron acciones regulatorias que continuarán impulsando las demandas generales de seguridad de las aplicaciones. Según estos factores, esperamos que el gasto de los usuarios finales de AST en todo el mundo supere los 3100 millones de dólares en 2022.
El mercado de AST sigue experimentando una mayor competencia entre los participantes tradicionales y las nuevas fuentes, como los proveedores de infraestructura de desarrollo. Estos incluyen GitHub, GitLab, Jfrog y Sonatype. Los proveedores de seguridad en la nube continúan mostrando cierta superposición y competencia, particularmente en áreas como la seguridad de contenedores y el escaneo IaC. El aumento de la competencia ha llevado a algunos proveedores a simplificar y reducir los precios, así como a ampliar el alcance de sus ofertas para adaptarse mejor a los requisitos del cliente. Esto incluye tanto el crecimiento orgánico como la adición de funcionalidad a través de adquisiciones. Los ejemplos incluyen la compra de Dustico por parte de Checkmarx; la compra de Alcide por parte de Rapid7; las selecciones de Snyk de FossID, CloudSkiff y Fugue; la compra de MuseDev por parte de Sonatype; y la adquisición de Code Dx por parte de Synopsys.
Alcance ampliado: las arquitecturas de aplicaciones cambiantes y las nuevas tecnologías, que aportan una mayor complejidad y diversidad a las carteras de software de las organizaciones, requieren nuevos enfoques y tipos de AST. Los enfoques de prueba que se consideraban especializados o se aplicaban con poca frecuencia, como el escaneo IaC, se han vuelto cada vez más comunes. Los proveedores continúan innovando en torno a enfoques más tradicionales para las pruebas.
Un aumento en el espacio en blanco a la derecha del Cuadrante Mágico refleja la necesidad de que los proveedores continúen innovando, incluso dentro de segmentos de mercado bien establecidos. El análisis estático, por ejemplo, muestra altas tasas de penetración, pero los proveedores han introducido nuevos enfoques en un esfuerzo por aumentar la velocidad y la precisión. Las pruebas dinámicas, un estándar durante mucho tiempo para las pruebas de aplicaciones web, están viendo una nueva vida y crecimiento como un medio para probar las API. Y SCA ha comenzado a incorporar funciones diseñadas para advertir sobre los riesgos operativos asociados con los ataques a la cadena de suministro y otras amenazas.
Seguridad de aplicaciones centrada en el desarrollador aunque las organizaciones se encuentran en varias etapas de su viaje hacia un enfoque de “cambio a la izquierda” en AST, las funciones subyacentes de habilitación del desarrollador y automatización/integración requeridas para lograr esa visión se han convertido en requisitos esenciales y generalmente omnipresentes para los compradores. Aunque la calidad de la ejecución puede variar considerablemente, todos los proveedores del Cuadrante Mágico han ofrecido estas capacidades al mercado y adoptan un enfoque centrado en el desarrollador para la seguridad de las aplicaciones.
La diferenciación aquí, más allá de los requisitos típicos para mejorar la flexibilidad, la facilidad de uso y la velocidad, está surgiendo en áreas como la organización de la seguridad de las aplicaciones y las capacidades de correlación , y la adición de más características de protección y seguridad de aplicaciones nativas de la nube. Estos ayudan a administrar la mayor complejidad de las pruebas, simplifican la inclusión de herramientas de prueba de código abierto y de terceros en un programa de seguridad de aplicaciones y ayudan en la priorización y clasificación de los hallazgos.
La responsabilidad práctica del diseño de la seguridad de las aplicaciones y las tareas de prueba se están trasladando a los equipos de desarrollo e ingeniería. La investigación de Gartner revela que más de la mitad de los líderes de ingeniería de software son directamente responsables de la seguridad de las aplicaciones y otro tercio comparte la responsabilidad. A pesar del cambio general, los grupos de seguridad de aplicaciones tradicionales siguen siendo muy relevantes. Vemos que el papel de estos grupos avanza hacia un enfoque en el establecimiento y la aplicación de políticas (por ejemplo, con respecto a los niveles aceptables de riesgo) y la supervisión y generación de informes sobre el programa general de seguridad de aplicaciones de una organización. Este cambio impulsará sus propias innovaciones, centradas en simplificar la capacidad de las organizaciones para administrar sus programas de seguridad de aplicaciones desde una postura basada en el riesgo.

Definiciones de criterios de evaluación

Habilidad para hacer

Producto/Servicio: Bienes y servicios principales ofrecidos por el proveedor para el mercado definido. Esto incluye las capacidades, la calidad, los conjuntos de características, las habilidades, etc. del producto/servicio actual, ya sea que se ofrezcan de forma nativa o a través de acuerdos/asociaciones de OEM, tal como se define en la definición de mercado y se detalla en los subcriterios.
Viabilidad general: la viabilidad incluye una evaluación de la salud financiera general de la organización, el éxito financiero y práctico de la unidad comercial y la probabilidad de que la unidad comercial individual continúe invirtiendo en el producto, continúe ofreciendo el producto y avance en el estado de el arte dentro del portafolio de productos de la organización.
Ejecución de ventas/Precio: las capacidades del proveedor en todas las actividades de preventa y la estructura que las respalda. Esto incluye la gestión de acuerdos, la fijación de precios y la negociación, el soporte de preventa y la eficacia general del canal de ventas.
Capacidad de respuesta /registro del mercado: capacidad para responder, cambiar de dirección, ser flexible y lograr el éxito competitivo a medida que se desarrollan las oportunidades, actúan los competidores, evolucionan las necesidades de los clientes y cambia la dinámica del mercado. Este criterio también considera el historial de capacidad de respuesta del proveedor.
Ejecución de marketing: la claridad, calidad, creatividad y eficacia de los programas diseñados para entregar el mensaje de la organización para influir en el mercado, promover la marca y el negocio, aumentar el conocimiento de los productos y establecer una identificación positiva con el producto/marca y la organización en el mentes de los compradores. Esta “participación mental” puede ser impulsada por una combinación de publicidad, iniciativas promocionales, liderazgo intelectual, boca a boca y actividades de ventas.
Experiencia del Cliente: Relaciones, productos y servicios/programas que permiten a los clientes tener éxito con los productos evaluados. Específicamente, esto incluye las formas en que los clientes reciben soporte técnico o soporte de cuenta. Esto también puede incluir herramientas auxiliares, programas de atención al cliente (y la calidad de los mismos), disponibilidad de grupos de usuarios, acuerdos de nivel de servicio, etc.
Operaciones: La capacidad de la organización para cumplir con sus metas y compromisos. Los factores incluyen la calidad de la estructura organizacional, incluidas las habilidades, experiencias, programas, sistemas y otros vehículos que permiten que la organización opere de manera efectiva y eficiente de manera continua.

Integridad de la visión

Comprensión del mercado: capacidad del vendedor para comprender los deseos y necesidades de los compradores y traducirlos en productos y servicios. Los proveedores que muestran el mayor grado de visión escuchan y comprenden los deseos y necesidades de los compradores, y pueden moldearlos o mejorarlos con su visión añadida.
Estrategia de marketing: un conjunto de mensajes claros y diferenciados que se comunican de manera constante en toda la organización y se externalizan a través del sitio web, la publicidad, los programas para clientes y las declaraciones de posicionamiento.
Estrategia de ventas: la estrategia para vender productos que utiliza la red adecuada de afiliados directos e indirectos de ventas, marketing, servicio y comunicación que amplían el alcance y la profundidad del alcance del mercado, las habilidades, la experiencia, las tecnologías, los servicios y la base de clientes.
Estrategia de oferta (producto): el enfoque del proveedor para el desarrollo y la entrega del producto que enfatiza la diferenciación, la funcionalidad, la metodología y los conjuntos de características a medida que se asignan a los requisitos actuales y futuros.
Modelo comercial: la solidez y la lógica de la propuesta comercial subyacente del proveedor.
Estrategia vertical/industrial: la estrategia del proveedor para dirigir recursos, habilidades y ofertas para satisfacer las necesidades específicas de segmentos de mercado individuales, incluidos los mercados verticales.
Innovación: Diseños directos, relacionados, complementarios y sinérgicos de recursos, experiencia o capital con fines de inversión, consolidación, defensivos o preventivos.
Estrategia geográfica: la estrategia del proveedor para dirigir recursos, habilidades y ofertas para satisfacer las necesidades específicas de geografías fuera del “hogar” o geografía nativa, ya sea directamente o a través de socios, canales y subsidiarias, según corresponda para esa geografía y mercado.
LinkedIn
Tags: , ,