每年此时,Gartner 都会发布新一年度的《应用安全测试魔力象限报告》。毫无疑问,Fortify 再次成为领导者。Fortify 在纯 SAST 和 DAST 功能方面名列前茅,并且由于在 DAST、云原生 AppSec 和软件构成分析方面的功能扩展,成为为数不多向领导者象限前进的供应商。在 Forrester SAST WAVE 、 G2 和 IDC Landscape 报告中,Fortify 也居于领导者地位。
本文将讨论的是《2023年Gartner®应用程序安全测试的关键功能报告》。该报告对魔力象限进行了补充,对相似的12家供应商在5个常见用例中提供的12种功能的能力进行了排名。
首先,让我们看看相较2022年,2023年的关键功能变更:
正如我们所看到的这些变更,软件供应链是 Gartner 的热门话题。由于代码库严重依赖开源组件,备受瞩目的供应链攻击现在变得更加常见。以下是我们与 Dark Reading 公司联合发布的《代码安全现状报告》中的一些发现,这些发现为上述结论提供了佐证。
几乎一半的人计划部署(SCA)以响应开源组件的关注点
- 开源组件被列为第二脆弱的领域。
- 大型组织(27%) 比小型组织(18%)更担心维护软件供应链的安全。
- 26%的受访者受到频繁使用不安全的开源代码库的挑战。
- 46%的人计划在明年内转移到 SCA。
应用程序安全状态管理也首次出现在关键功能列表中。随着组织 AppSec 态势的成熟和工具的增加,将漏洞聚合并规范化到单一窗格中的需求将继续增长。
安全专业人员、行政管理人员和开发人员需要一种集成的方法来对其应用程序安全状态进行有意义的改进。
OpenText Fortify 的强大功能
OpenText 于2023年1月收购了 Micro Focus,提供了 Fortify AST 产品。在本报告中检查的所有关键能力中,Fortify AST 的强大功能显露无疑。
最初,Fortify 是最早提供商业AST工具的供应商之一。该产品组合包括静态代码分析器、WebInspect(动态应用安全测试,DAST)、Debricked(SCA)、Fortify SSC(软件安全中心)和 Fortify Insight(查找评估和管理工具),以及 Fortify on Demand (SaaS,涵盖了公司产品组合的大多数元素)。企业内部 SCA 功能是通过与 Sonatype 的长期 OEM 协议交付的,OpenText 既销售 Sonatype SCA 产品,也为其提供基本支持。
Fortify 对其产品集进行了一系列更改。对于 Debricked 的收购,提供了包括 Open Source Select 在内的许多软件供应链功能。该产品提供了可以用来评估开源软件风险(更新的频率、维护团队的规模等)的数据洞察力,并帮助指导团队使用具有最小潜在下游风险的软件包。
Fortify Insight 是一个解决 ASPM 问题的新产品组合,整合了来自 Fortify 工具和第三方解决方案的数据。Fortify 扩展了其 API 安全测试和发现功能,增加了对 GraphQL 和 gRPC APIs 的支持,以及对传统格式(如 REST )的支持。此外,Fortify 意识到利用机器学习的各种增强功能,能够解决诸如提高针对 Fortify 调查发现的 Audit Assistant ML 模型的质量和可靠性。
这些产品的增强和改进使 OpenText 的产品组合比过去几年更强大,使供应商在所考虑的每个正式用例中都能获得接近最高的分数。OpenText 在所有用例中都名列前茅。
关于 OpenText
OpenText 已完成对 Micro Focus 的收购。我们非常期待今后能为客户带来更丰富的产品和服务,为不断增长的数字化需求和智能化工作提供支持。目前,我们拥有 25,000 名专家,能够为服务客户及推动创新提供不竭动力。
Micro Focus 将为 OpenText 带来关键技术,其中包括全新的 AI 与分析、应用开发与交付、应用现代化,以及数字运营管理。这些新技术能够为 OpenText 提供强而有力的支持,巩固其在内容服务、商业网络、数字体验和网络安全领域的市场领先地位。
通过整合两家公司的综合能力,我们能够帮助客户取得信息优势,加快数字化转型历程。整合后的新公司将聚焦未来业务发展,实现以人为本、兼容并蓄的可持续增长。我们还通过整合信息和自动化来加速处理复杂难题,让任何规模的企业都能利用新的数字结构、新的规则,以及新的工作方式实现重塑。许多享誉全球的公司全都仰赖 OpenText,并且十分认可我们在提供智能工作方式方面的专业知识。OpenText 不仅能够发挥信息的强大作用,而且非常重视信息保护,让组织和个人都能发挥出最大潜力。
(文章来源公众号:MicroFocus)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
关于九游会J9电子
上海九游会J9电子技术有限公司是国内资深的研发工具软件提供商,公司成立于2009年,面向中国广大的制造业客户提供研发、设计、管理过程中使用的各种软件开发工具,致力于帮助客户提高研发管理效率、缩短产品设计周期,提升产品可靠性。
十多年来,先后与ARM、Altium、Ansys、QT、Green Hills、Minitab、EPLAN、QA Systems、OpenText、Visu-IT、HighTec、PLS、Ashling、MSC Software、Autodesk、Source Insight、IncrediBuild、Lauterbach、Adobe、Testplant、TeamEDA等多家全球知名公司建立战略合作伙伴关系,并作为他们在中国区的主要分销合作伙伴服务了数千家中国本土客户,为客户提供从芯片级开发工具、EDA设计工具、软件编译以及测试工具、结构设计工具、仿真工具、电气设计工具、以及嵌入式GUI工具等等。九游会J9电子凭借多年的经验积累,真正的帮助客户实现了让研发更简单、更可靠、更高效的目标。
欢迎关注“九游会J9电子”公众号
了解更多研发工具软件知识