应用安全AppSec市场竞争日趋白热化，究竟为何？

过去的5年里，随着越来越多的厂商加入应用安全（又称 AppSec）市场，该市场的竞争日趋激烈。除非你是该领域的现有供应商（或投资者），否则竞争加剧是意料之中的事，并不十分有趣。

有趣的是，进入AppSec市场的供应商类型，以及这一最新趋势背后的驱动因素。

前情背景

首先，了解什么是AppSec市场以及其组成是很重要的。根据Gartner的数据，AppSec市场由三个子类别组成：

• Web应用防火墙（WAF）

• 漏洞管理/评估

• AppSec测试（即：SAST、DAST、IAST、SCA等）

从规模来看，Gartner预测2023年AppSec市场整体规模将达到75亿美元。

现有成熟的AppSec供应商

在整体分析AppSec市场时，绝大多数供应商已经拥有至少7年或更长时间的能力。这些是成熟的AppSec供应商，在各自的市场子类别中相互竞争，没有太多来自外部的竞争。

一些供应商可能最近更换了东家（如：Signal Science现在属于Fastly，IBM AppScan现在是HCL AppScan等），或更名（如：Mend之前是WhiteSource等），但基本上仍是同样的“传统”供应商，在同一市场子类别中运营和竞争。

进入AppSec市场的新供应商

从大约2018年开始，逐渐有更多的供应商进入了这一市场，范围从微软/ GitHub/ Azure等大型DevOps平台到成立了几年的小型AppSec初创公司。随着时间的推移，这一趋势逐渐增加，过去5年里已经有数十家新的供应商进入了AppSec市场，大小各异。而且，这一趋势在下面的幻灯片中所示的AppSec测试子类别中尤为突出。

如果查看进入AppSec市场的供应商，会看到实际上有4种不同类型的供应商：

1.DevOps平台（例如：Microsoft/GitHub/Azure、GitLab等），已经整合了AppSec测试能力。

2.监控/可观测性（例如：Dynatrace、Datadog等），已经添加了WAF/RASP或其他AppSec能力。

3.云原生应用保护平台（CNAPPs），已添加了定制扫描能力。

4.“下一代”AppSec初创公司，正在构建更好的AppSec测试样例，具备定制扫描、软件供应链安全或其他AppSec能力。

影响

不足为奇，AppSec 供应商/解决方案数量的增加导致大部分 AppSec 市场的竞争加剧。5-6 年前增长 30% 以上的传统 AppSec 供应商正在受到负面影响，他们的增长正在被日益激烈的竞争所吞噬。

下一个问题是：为什么？为什么所有这些新厂商都要在本已拥挤不堪的市场上增加 AppSec 功能？

以下是这一趋势的四个驱动因素，排名不分先后...

驱动1：显著的增长

Gartner预测这一市场在增长，预计到2023年，整体AppSec市场规模将达到75亿美元，增长率为23%。事实上，在Gartner的预测中的11个安全市场中，只有云安全预计会稍微超过应用安全市场的增长速度。

驱动2：更多的安全供应商“左移”

除非过去几年生活在安全山洞里，您可能已经听说过 “左移”或者不那么流行的“到处移动”。

“左移”是在开发过程的早期阶段进行测试、质量和性能评估的实践。随着团队面临更快、更频繁地交付高质量且没有软件缺陷的压力，左移的测试变得越来越重要。

最终结果：越来越多邻近类别的供应商正在添加AppSec的“左移”能力，例如构件扫描或应用程序保护能力——无论是通过自主构建还是通过收购的方式。

突出实例：GitLab在2020年6月收购了两家Fuzzing供应商；Peach Tech和Fuzzit。CrowdStrike则于2022年7月将容器镜像扫描和SCA能力添加到其CNAPP解决方案中。

驱动因素3：减少开发者摩擦

从历史上看，许多商业应用安全测试工具并不是最易于部署和使用的工具，尤其对开发者而言。我过去几年一直在一家大型应用安全测试供应商工作，所以我了解这些工具可能给开发者带来的困扰。

不点名道姓，其中一些工具需要供应商提供重大的安装、定制和培训支持。对于额外的编程语言或新功能的支持可能需要很长时间才能由供应商添加。而且，有些工具运行扫描所需的时间可能需要几个小时才能完成。起码可以说，这并不理想。

最终结果：初创企业正在进入并做着现有应用安全测试供应商未曾做过的事情。这些初创企业正在构建一个更好的应用安全测试样例，减少/消除传统工具的困扰，并专门针对开发者、开发环境和DevOps流程进行了设计。

突出实例：新的应用安全测试初创企业已经出现，例如2019年的StackHawk和Bearer，2020年的Semgrep以及2021年的Oxeye。

驱动因素4：软件供应链风险

考虑到最近软件供应链相关的安全漏洞增加以及拜登于2021年5月发布的第14208号行政命令，出现了许多新的应用安全初创企业以及现有供应商正在解决软件供应链安全问题。

最终结果：供应商发现了构建新的、创新的解决方案的机会，这些解决方案专门针对不同方式中的软件供应链安全问题。

突出实例：新的软件供应链安全初创企业已经出现，例如2018年的Rezilion，2019年的Apiiro以及2021年的Chainguard。

总结/结论

• 根据Gartner的预测，整体应用安全市场在2023年将达到75亿美元，增长率为23%。

• 过去5年中，应用安全市场竞争加剧，数十家新的供应商进入该市场，尤其是进入应用安全测试类别。

• 由于竞争加剧，传统的应用安全供应商的增长受到负面影响。

• 多种因素促使这一趋势，包括巨大的市场机会、近期的“左移”的安全趋势，以便更快地交付高质量的软件，面向开发人员的更好的应用安全解决方案，以及软件供应链风险。

David Vance

信息安全专家

原文链接：

https://davidvance.substack.com/p/competition-is-heating-up-in-the

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。