实地与云端：开发者技术季度报告——DevSecOps更新版

请参阅第41-42页的重要披露。分析师认证在第41页。威廉·布莱尔或其附属机构与其研究报告涵盖的公司进行或寻求进行业务往来。因此，投资者应注意该机构可能存在利益冲突，这可能影响本报告的客观性。本报告不旨在提供个人投资建议。本报告中的观点和建议并未考虑个别客户的具体情况、目标或需求，也不构成针对特定证券、金融工具或策略向特定客户的建议。本报告的接收方必须就其中提到的任何证券或金融工具做出其自身的独立决策。 内容 简介...............................................................................................................................................................................................................2 执行摘要.................................................................................................................................................................................................3关键要点..........................................................................................................................................................................................................4 考察DevSecOps市场格局...............................................................................................................................................7 AI对DevSecOps的影响...................................................................................................................................................................................14 DevSecOps市场规模和增长前景..............................................................................................................................................16 DevSecOps趋势.................................................................................................................................................................................................18 DevSecOps平台的核心价值主张.....................................................................................................................................22 开发者专有调查...................................................................................................................................................................25 附录—私营公司简介............................................................................................................................................................32 词汇表.....................................................................................................................................................................................................................38 简介 在地面和云端这是一份由威廉伯乐技术团队每季度出版的出版物，深入探讨影响开发者技术的趋势，涵盖了包括软件开发、DevOps、数据库、分析和可观察性在内的广泛主题。在过去十年中，开发者已成为所有组织中日益重要的影响者，因为软件应用程序和数字化转型已成为业务运营、客户互动和竞争优势的关键。最近，COVID-19大流行等黑天鹅事件以及一系列软件供应链攻击加剧了这一趋势。开发者代表着早期采用者，他们将决定特定软件产品或项目的成功。因此，我们认为研究影响这一至关重要的工作群体的关键技术和文化动态至关重要。 在这个 DevSecOps 刷新版中在地面和云端，我们提供来自我们最新私有开发者/从业者调查的更新结果，考察整体DevSecOps市场及其主要参与者以及在过去一年中的变化，并讨论该领域的最新趋势。我们还提供我们对人工智能可能对DevSecOps产生的影响的看法，并重点介绍相关私营公司。 威廉伯乐 执行摘要 DevSecOps是将安全嵌入整个软件开发生命周期（SDLC）的实践，以确保安全测试、策略和控制直接集成到开发者和DevOps工作流程中。它不是将安全视为开发过程末尾的独立阶段，而是使其成为IT运营、开发和安全团队之间的持续和共同责任。这种方法与敏捷和云原生软件交付方法一致，通过在流程早期发现问题并促进传统上相互隔离的团队之间更广泛的协作，从而实现更快、更安全的软件发布。应用程序和API也代表了一个主要的攻击向量，根据Verizon最新的数据泄露调查报告，所有数据泄露中有25%针对应用程序层漏洞。在SolarWinds和Equifax等重大数据泄露事件后，软件供应链安全也正获得更多关注，这些事件凸显了需要保障创建和交付软件的所有要素，尤其是考虑到开源软件占现代应用程序的比例高达90%。这类攻击没有减缓的迹象，Check Point最近发现了一个名为Stargazer Goblin的威胁行为者，该行为者创建了一个包含超过3000个GitHub账户的网络，作为其分布式作为服务（DaaS）运营的一部分来分发恶意软件和恶意链接。 请参阅我们在 DevSecOps 方面的入门文章：实地与云端：DevSecOps 版本。 我们相信DevSecOps至关重要，因为传统的安全实践是孤立的，并且对于当今快速软件交付周期来说太慢和反应不足。通过将安全整合到整个SDLC中，DevSecOps平台解决方案帮助组织在开发过程的早期发现和修复漏洞。这些解决方案为组织提供了跨多个团队和管道扩展安全的能力；增强对应用程序安全性和合规状况的可见性；改进开发人员、安全团队和IT运营团队之间的协作；支持现代应用程序架构的安全；更好地整合DevSecOps工具；并将安全嵌入整个软件开发过程。DevSecOps解决方案还降低了修复漏洞的成本，同时提高了开发人员的生产力，最终使组织能够更快地以更少的干扰和更低的长期安全和合规成本发布安全代码。 通过与私营公司、上市公司以及该领域行业专家的交谈，我们认为DevSecOps竞争格局中有四种主要类型的参与者：1) 传统应用安全供应商（如思科、博通、IBM和微焦点/奥泰）；2) 现代应用安全供应商（如Snyk和Contrast Security）；3) 开发者平台提供者（如GitHub和GitLab）；以及4) 云原生应用保护平台（CNAPP）供应商（如Wiz、Sysdig、帕洛阿尔托网络和CrowdStrike）。我们认为，在中等范围内，开发者平台、现代应用安全供应商以及CNAPP供应商都有权在市场上获胜。开发者平台受益于对开发者工作流程的无与伦比的集成、广泛的开发者采用以及显著的平台效应，使其成为已经在使用该平台来发布软件的开发人员的首选解决方案。然而，安全并不是这些平台的核心竞争力，因此我们相信CNAPP和现代应用安全供应商也有权获胜。现代应用安全和DevSecOps供应商专注于开发者安全，并在该领域拥有深厚的专业知识，而CNAPP提供统一的云和应用安全解决方案，从代码到运行时保护软件。从长期来看，我们认为现代DevSecOps能力可能会面临来自提供类似功能并日益增强的更广泛平台的竞争压力，并最终整合到开发者平台和CNAPP中。我们认为，开发者平台和CNAPP的价值主张在于减少工具泛滥、统一安全和发展工作流程，并随着时间的推移使安全性成为软件开发生命周期中更内在的一部分，并随着时间的推移提升能力。我们还认为，超大规模企业可能会在DevSecOps领域进行更认真的竞争，因为他们拥有现代应用程序被构建和运行的基础设施云，并且可以集成安全功能，鉴于谷歌最近的收购Wiz，这种竞争可能会加速。 塑造 DevSecOps 的关键趋势包括平台工程、人工智能和自动化、软件供应链安全、应用程序安全态势管理（ASPM）、应用程序检测与响应（ADR）、日益增长但充满挑战的采用以及偏爱平台解决方案。我们相信，人工智能通过自动化漏洞检测、事件分派、事件报告、会话摘要和修复，正在重塑 DevSecOps，同时随着人工智能生成的代码也引入了新的风险和挑战。我们视人工智能为双刃剑，因为它在开发者生产力和网络安全效能方面带来了显著优势，但也带来了新的挑战和安全隐患。例如，Meta 进行了一项关于人工智能代码生成的研究，发现大型语言模型在编写代码方面的能力越强，就越差于避免脆弱的编码实践。我们预计这将随着时间的推移而改善，但它说明了人工智能在短期内带来的风险加剧。从长期来看，我们相信，随着软件开发者的角色转变为开发人工智能代理，而人工智能代理需要安全设计，人工智能代理将进一步推动对 DevSecOps 工具的需求。总体而言，我们相信 DevSecOps 市场将受益于人工智能，这得益于人工智能增强的网络安全优势、开发者利用它编写更多代码、DevSecOps 工具变得更高效和用户友好，以及需要保护人工智能本身，我们预计这些都将有助于推动更高的需求和采用率。 关键要点 1. 现代DevSecOps供应商由于开发者采用率更高、集成度更高、性能更好、新技术的覆盖范围更广以及可用性更强而获得市场份额。我们认为，传统的应用安全供应商在集成到CI/CD流程方面存在主要限制，交付性能差，对新兴威胁向量的覆盖滞后。传统工具通常作为独立产品仅由安全团队使用，导致与开发人员之间的工作流程效率低下，从而延缓软件开发，并且在流程后期才发现问题。另一方面，现代供应商解决了这些挑战，并且由于它们是为开发人员设计的，因此在开发者采用方面具有主要优势。转向云环境也让现代供应商受益，因为传统的工具最初是为本地环