Leaders
成熟且全方位的平台。
- Checkmarx
- Black Duck
- Snyk
- Veracode
- OpenText Fortify
- HCLSoftware
DevSecOps Product Evaluation
以相同問題比較 Checkmarx、Snyk、Veracode、Black Duck、OpenText Fortify、Semgrep、GitLab、GitHub、HCLSoftware、JFrog、Wiz 與 Endor Labs 在安全開發流程各階段的支援程度。
Gartner 象限的劃分反映了市場競爭維度的轉變,四大象限分別代表不同的生存策略:Leaders代表一個成熟的、全方位的平台,幾乎涵蓋了軟體開發生命週期的每個環節、Visionaries特徵為引入新概念、Challengers擁有堅實的基礎,但仍在建立更廣闊的願景、Niche Players特徵為專注特定領域,提供輕量、靈活且具工程原創性的技術。
成熟且全方位的平台。
引入新概念與新市場視角。
基礎堅實,仍在建立更廣闊願景。
專注特定領域,輕量且具工程原創性。
尚未在本次輸入中指定象限。
AppSec 平台覆蓋 SAST、SCA、IaC、DAST、容器、ASPM、AI 修復與合規報告,Runtime 與 Cloud Posture 較偏外部整合。
開發者導向安全平台,IDE、PR、CI/CD、SCA、IaC、容器、SBOM 與 AI 修復能力完整,IAST 與原生 Runtime 資訊較少。
成熟 AppSec 平台,SAST、DAST、SCA、Binary Scanning、SBOM、ASPM 與 PR 修復能力完整,IAST 與 RASP / eBPF 資訊較有限。
AppSec 與供應鏈安全平台,SCA、SAST、DAST、IAST、Binary Analysis、SBOM、ASPM 與威脅建模整合完整,Runtime 阻斷與獨立 CSPM 較有限。
成熟 AppSec 平台,SAST、DAST、SCA、IaC、FAST / IAST、AI 修復與合規報告完整,容器映像檔深度掃描、Runtime 與 CSPM 資訊較有限。
開發者導向靜態分析平台,SAST、SCA、Secrets、IaC、AI 編碼助手防護與 PR 掃描完整;DAST、IAST、二進位與容器映像檔掃描較有限。
整合式 DevSecOps 平台,涵蓋 MR 掃描、SAST、SCA、Secret Protection、IaC、DAST、容器掃描、合規框架與 GitLab Duo AI 修復;IAST、Runtime 阻斷與 CSPM 資訊較有限。
GitHub 產品評估細節待補。
HCL AppScan 產品評估已先補入需求、開發與 PR 階段資料,其餘階段待補。
供應鏈與二進位產物安全平台,涵蓋 IDE、PR、SAST、SCA、Secrets、Artifact、IaC、SBOM、容器、Xray 儀表板與 Runtime 監控;DAST 與 IAST 資訊較有限。
雲端原生安全平台,涵蓋 CSPM、KSPM、Code-to-Cloud、SAST、SCA、Secrets、IaC、容器、SBOM、Security Graph、Runtime eBPF 監控與票務整合;DAST / IAST 主要透過第三方整合。
軟體供應鏈安全平台,強項包含 SCA、SAST、Secrets、PR 掃描、SBOM、容器掃描、可達性分析、AI Agent 安全與自主修復;DAST、IAST 與原生 Runtime 防護較有限。