Forrester报告：SAST赛道竞争新局面

2023年9月19日，Forrester发布了「The Forrester Wave™: Static Application Security Testing, Q3 2023」报告，分析了这一赛道的最新动态，并对比分析了其中的11个厂商。

Forrester高级分析师Janet Worthington说，供应商已经不仅仅评估代码本身的安全性，现在还评估代码运行的基础设施的安全性，每家SAST公司现在都提供基础设施即代码扫描。供应商现在支持新版本的IAC（如Azure Bicep）以及新的编程语言（如OutSystems等低代码平台）。

Worthington说：“SAST正在超越我们传统意义上所说的代码，成为安全必须关注的东西。SAST供应商真正接受的理念是："你不仅要关注代码，还要关注代码将要运行的基础设施"。”

Worthington说，软件组成专家购买或构建自己的SAST工具的速度在加快，反之亦然，而以开发人员为中心的工具也进入了CI/CD pipleine或二进制工件领域，以减少噪音。此外，云安全厂商也进入了SAST和SCA领域，推动纯粹的厂商采取整合的方法，她说。

SAST Forrester Wave上次发布还是2021年冬季的版本。这一次，Veracode以较大优势获得了最高战略排名，Synopsys和Snyk并列第二，Checkmarx和HCL Software紧随其后。这与2021年形成鲜明对比，当时Checkmarx击败Veracode获得最高分，Synopsys和HCL Software落后。

Veracode的当前静态应用安全测试工具也获得了Forrester的最高分，Synopsys、Checkmarx和HCL Software分别获得第二、第三和第四名。在2021年，Synopsys超越Veraocde获得当前产品的最高排名，Checkmarx、Micro Focus和Parasoft紧随其后。

展望未来，Worthington预计生成式人工智能将使开发人员在编写代码、制作测试用例和发布文档方面的效率大大提高。她说，生成式人工智能将帮助静态应用安全测试领域，允许供应商和客户对首次编写的代码进行自动修复，并为开发人员提供进行修复所需的实际代码，而不仅仅是代码样本。

Worthington说：“生成式人工智能将以我们还无法预测的方式改变一切。我们将有大量的代码需要编写，大量的代码需要测试，大量的代码需要维护。因此，我们将会看到一些有趣的变化和发展。”

除领导者外，Forrester对静态应用程序安全测试市场的看法如下：

• Strong Performers表现优异者

HCL Software,Snyk,OpenText

• Contenders竞争者

GitLab, GitHub,SonarSource

• Challengers挑战者

Perforce Software,Contrast Security

SAST领导者成就历程

Veracode将人工智能应用于修复漏洞

Veracode首席产品官Brian Roche表示，Veracode从头开始重新构建了静态扫描引擎的工作方式，为如何修复漏洞提供了多种选择，并在几毫秒内得出结果。该公司保留了识别应用程序漏洞的核心智能引擎，同时采用了云原生方法，允许客户同时扫描数百万个应用程序。

据Roche称，该公司还开始使用人工智能和机器学习来自动修复问题，现在可以针对最重要的编码语言中最常见的漏洞自动生成结果。他说，客户现在正转向人工智能，以自动修复Veracode发现的漏洞，同时保留数据。

“我们正在采取一种更加整体、全面的方法来识别软件开发生命周期中每一步的漏洞”，Roche说，“无论你是在集成开发环境中编写代码，还是在集成和交付，抑或是将代码部署到生产中，我们都是最全面的人工智能解决方案，能够提供最大的建议。”

Forrester指责Veracode的秘密检测和增量扫描不合格，管道扫描漏掉了已审批的内容，以及Veracode Fix与产品其他部分之间缺乏集成。Roche表示，Veracode已经完全重新构建了插件系统，以提高价值实现时间，并将所有功能都集成到一条命令行中，集成方面的更新将于下月推出。

“我们希望迅速为客户创造价值”，Roche说，“我们认识到，开发人员正在使用人工智能，我们看到这些风险和易受攻击的代码正在进入生产环境”。

Synopsys将SCA/ASPM/SAST紧密配合

Synopsys软件完整性部门产品管理总监Beth Linker表示，Synopsys已加倍努力开发其核心静态分析引擎，以提高增量分析的速度和一致性，并通过深度程序分析更有效地发现问题。该公司提高了深度扫描的速度和效率，使其在不失去一致性的情况下以增量方式运行。

Linker表示，Synopsys希望通过首次推出软件风险管理器，将SAST与软件组成分析和应用安全态势管理结合起来，为客户提供更多访问静态分析的途径。Linker说，与GitHub、GitLab和Azure的集成使Synospys能够同时查看SAST和软件组成分析，并以一致的方式处理结果。

Linker说：“我们致力于提供一流的软件即服务体验，同时继续投资于我们许多客户目前正在使用的内部部署选项。”

Forrester指责Synopsys的扫描速度不够快，扫描配置的误报率很高，而且需要ASPM才能访问报告、优先级和分流。Linker表示，Synopsys将开发自动配置功能，以解决大量定制选项的问题，并已投资了大量与智能和扫描速度相关的项目。

Linker说：“我们的一些长期客户拥有非常完善的工作流程，因此很难进行变更管理和引入新功能。我们已经推出了很多强大的功能，我们正在与客户一起慢慢地、稳步地帮助他们充分利用这些功能。”

Checkmarx采用人工智能检查代码漏洞

Checkmarx是首家为OpenAI推出插件的SAST供应商，该插件允许开发人员在接受第三方代码之前检查其是否存在漏洞，公司首席执行官Sandeep Johri表示，公司计划将其扩展到Azure AI。Johri表示，该插件可帮助开发人员使用OpenAI教育自己在发现漏洞后如何修复漏洞，并帮助他们有效应对基于AI的威胁载体。

Johri说，从一开始就检查代码可以确保企业不会引入脏代码，并确保生成式人工智能带来的更高代码速度不会导致更大的安全工作量或更多的漏洞通过。每个扫描引擎都从各自的角度识别漏洞，Johri说，提供跨引擎的上下文可以消除一些潜在的问题，并减少重复。

Johri说：“客户正在寻求应用安全领域的整合，因此他们倾向于使用平台。长期以来，我们一直是SAST领域的领导者。因此，大部分SAST功能都是有机的。”

Forrester批评Checkmarx缺乏自动修复功能以及内部部署产品的某些功能，并表示复杂的产品和服务定价对客户来说非常耗时。Johri表示，到2023年底，Checkmarx将提供预置功能，从打包的角度来看，它为客户提供了更多的选择和灵活性，并指导开发人员如何使用人工智能进行修复。

“我们不做自动修复。我们看到客户对此非常怀疑”，Johri说。“他们更愿意让我们这样的供应商提出修复建议，但让开发人员来实际修复。他们不希望再有一个自动引擎去修改代码，因为那可能会产生其他问题。”

相关链接：

https://www.inforisktoday.com/veracode-synopsys-checkmarx-dominate-sast-forrester-wave-a-23260