Entro il 2025, il 70% degli attacchi contro i container proverrà da vulnerabilità note e configurazioni errate che avrebbero potuto essere risolte prima. Non solo: la risoluzione delle vulnerabilità di codifica identificate con soluzioni automatizzate passerà al 30%, rispetto a meno dell’1% di oggi, e diminuirà del 50% il tempo impiegato per correggere i bug. E ancora: entro il 2024, una base software considerabile precisa – oltre che regolarmente aggiornata – sarà un requisito non negoziabile per almeno la metà degli acquirenti di software aziendale, rispetto a meno del 5% nel 2019. L’importanza degli Application Security Testing tools è evidente.
Le previsioni di Gartner mettono in luce l’attenzione crescente riservata ai prodotti e ai servizi che analizzano e testano la sicurezza delle applicazioni. In questo articolo scattiamo una fotografia della situazione basata sui dati raccolti dagli analisti, partendo dal contesto e da una descrizione delle tecnologie di cui stiamo parlando. Poi puntiamo l’obiettivo sui leader di mercato che Gartner inserisce nel Magic Quadrant for Application Security Testing del 2020, cinque in questo caso, elencando per ciascuno i punti di forza e gli elementi di attenzione.
Il contesto degli Application Security Testing tools
La necessità di applicazioni sicure è presente nelle organizzazioni di tutte le dimensioni. Con i nuovi requisiti in materia di privacy dei dati, le conseguenze di una violazione della sicurezza non si limitano più al danno alla reputazione, ma possono anche comportare multe e sanzioni sostanziali. I fornitori offrono tecnologie AST di base e supporti aggiuntivi da oltre un decennio e sono maturati in termini di velocità ed efficacia, ma permangono ancora problemi di codice comuni a tutti gli operatori.
La maggior parte delle soluzioni sul mercato fornisce in vari modi capacità di scansione del codice, formazione, sviluppo e remediation per supportare sviluppatori e professionisti della sicurezza. DevSecOps, agile e una richiesta generale di maggiore automazione e velocità hanno portato alla maturazione del mercato e all’evoluzione di piattaforme complete che offrono un’ampia varietà di strumenti di Application Security Testing comunemente usati e soluzioni speciali che combinano i test di sicurezza con altre funzionalità come la qualità del codice.
Precisione, risultati più rapidi, integrazioni più semplici e una migliore guida alla remediation sono le priorità dei fornitori in questo mercato. Va detto che le soluzioni che facilitano agli sviluppatori gli aspetti legati alla sicurezza si integrano bene con la filosofia DevSecOps, liberando al contempo alcune risorse altrimenti dedicate all’esecuzione di scansioni del codice. Lato utenti, è diventato più semplice trovare le vulnerabilità utilizzando gli strumenti Application Security Testing integrati nel loro ambiente di sviluppo. Detto questo, l’analisi di Gartner indica che c’è tuttavia la necessità di migliorare in tutti e tre gli aspetti considerati prioritari: rapidità, semplicità remediation.
Definizione e descrizione del mercato AST
Gartner definisce il mercato dei test di sicurezza delle applicazioni (Application Security Testing tools) quello dove operano gli acquirenti e i venditori di prodotti e servizi progettati per analizzare e testare la vulnerabilità delle applicazioni dal punto di vista della sicurezza. Si possono identificare quattro principali tecnologie AST:
- La tecnologia Static AST (SAST) analizza la sorgente, il bytecode o il codice binario di un’applicazione per rilevare eventuali vulnerabilità di sicurezza, tipicamente nelle fasi di programmazione e/o test del ciclo di vita del software (SLC);
- La tecnologia Dynamic AST (DAST) analizza le applicazioni nel loro stato dinamico e in esecuzione durante le fasi di test o operative. Simula gli attacchi contro un’applicazione (tipicamente applicazioni e servizi abilitati per il web e API), analizza le reazioni dell’applicazione e, quindi, determina se è vulnerabile;
- La tecnologia Interactive AST (IAST) combina elementi di DAST simultaneamente con la strumentazione dell’applicazione sotto test. Viene in genere implementata come agente all’interno dell’ambiente di runtime di test (ad esempio, strumentazione della Java Virtual Machine JVM o .NET CLR) che osserva il funzionamento o attacca e identifica le vulnerabilità;
- La tecnologia di analisi della composizione del software (SCA), utilizzata per identificare i componenti open source e di terze parti in uso in un’applicazione, le loro vulnerabilità di sicurezza e le restrizioni di licenza.
Application Security Testing tools possono essere forniti come prodotto o come servizio in abbonamento, e molti fornitori offrono entrambe le opzioni. Gartner ha osservato che il principale motore nell’evoluzione del mercato AST è la necessità di supportare le iniziative DevOps; i clienti richiedono offerte che diano risultati di valore e garanzie senza rallentare gli sforzi di sviluppo. Inoltre, Gartner riconosce la crescente rilevanza dei container un fattore tecnologico di attrazione per lo sviluppo di applicazioni, in particolare per le applicazioni cloud native. Alla luce di questo, il supporto per i container è stato aggiunto come criterio di selezione nel Magic Quadrant 2020.
Gli analisti hanno osservato anche un’altra cosa: i set di strumenti per Application Security Testing, così come le tecniche per l’analisi comportamentale, vengono spesso usati per analizzare codice sorgente, byte o codice binario e osservare il comportamento delle app mobili per identificare codifica, progettazione, delivery e runtime che introducono vulnerabilità. Tuttavia, sebbene queste capacità siano apprezzate, non guidano le esigenze attuali o in evoluzione dei clienti AST, e quindi non sono state considerate un obiettivo primario nel Magic Quadrant 2020.
I leader del Magic Quadrant for Application Security Testing 2020
Arriviamo adesso al quadrante magico di Gartner, dove troviamo i cinque player di cui parliamo qui di seguito. La posizione è data dall’incrocio delle informazioni raccolte dagli analisti su capacità di esecuzione e completezza della visione.
I leader nel mercato Application Security Testing tools sono tali perché dimostrano l’ampiezza e la profondità dei prodotti e dei servizi AST. In genere, essi forniscono SAST e DAST maturi e affidabili e nelle loro soluzioni hanno una visione anche dello sviluppo di altre tecniche AST emergenti. In ultima analisi, i leader sono tali perché, sebbene possano eccellere in specifiche categorie AST, offrono una piattaforma completa con una forte presenza sul mercato, crescita e fidelizzazione dei clienti.
Checkmarx
Noto per la sua offerta SAST, Checkmarx ha ampliato il proprio portfolio per includere SCA, IAST e – tramite una partnership – anche DAST. Un’offerta formativa interattiva su richiesta, CxCodebashing, fornisce agli sviluppatori una formazione just-in-time sulle vulnerabilità all’interno del codice. Il prodotto SCA del fornitore è essenzialmente nuovo, con una versione sviluppata internamente che sostituisce una precedente offerta OEM con lo stesso nome, CxOSA. L’offerta SCA supporta anche nuove funzionalità di scansione dei container per aiutare a identificare l’open source problematico.
Un altro cambiamento è l’aggiunta di un Docker e di un motore di scansione SAST basato su Linux. Questo risolve i reclami del passato riguardo alla necessità per Windows di supportare i motori di scansione locali e abilita anche una nuova funzione di scansione ‘elastica’ che consente ai clienti di aggiungere (o rimuovere) motori di scansione per riflettere i cambiamenti dei carichi di lavoro. Un altro aggiornamento offre una maggiore prioritizzazione dei risultati in base a una valutazione di affidabilità (derivata da un algoritmo di machine learning) e altre variabili, come criteri definiti dall’utente, livelli di gravità, età e molte altre. Checkmarx offre un mix di opzioni di implementazione per la maggior parte dei suoi prodotti, con funzionalità identiche disponibili on-premise, in cloud e come servizio gestito.
Basata a Tel Aviv, la società è presente in Nord e Sud America, Europa e nella regione Asia Pacifico, incluso il Giappone. I principali centri di supporto si trovano in Texas, Israele e India. Checkmarx è stata acquisita il 16 marzo 2020 dalla società di private equity Hellman & Friedman che l’ha rilevata da Insight Ventures, ancora presente con una partecipazione di minoranza.
Punti di forza
- Il portfolio è competitivo su vari fronti, tra cui DevSecOps, sviluppo cloud native e approcci di sviluppo più tradizionali in cui SAST è un requisito centrale. Le funzionalità SAST supportano un’ampia varietà di linguaggi di programmazione e di framework, inoltre includono il supporto per test incrementali e paralleli.
- CxIAST utilizza un modello di scansione passiva e i risultati sono correlati ai risultati di SAST, così come i problemi nei pacchetti open source. Questo aiuta la validazione dei risultati e può aiutare a confermare la presenza di una vulnerabilità all’interno del codice.
- L’integrazione degli strumenti all’interno degli IDE e dell’ambiente di compilazione è spesso citata come un punto di forza dai clienti.
- La guida alla remediation, potenziata dal componente didattico CxCodebashing (opzionale), aiuta gli sviluppatori a comprendere le vulnerabilità e come possono essere risolte. Una visualizzazione basata sui grafici dei percorsi di esecuzione del codice e delle vulnerabilità evidenzia la proposta di “soluzione migliore”. Inoltre, la chat con il personale di supporto è di grande aiuto.
- La suite di prodotti offre indicazioni sulla prioritizzazione delle vulnerabilità, con report che tengono conto di dati quali la gravità della vulnerabilità, l’impatto, le informazioni su fonte e sink e il livello di affidabilità. I livelli di fiducia derivano da un mix di tecnologie, incluso un algoritmo machine learning per convalidare i risultati e la correlazione tra i risultati SAST e quelli scoperti dai test IAST o SCA.
- Attraverso i suoi vari componenti, il portafoglio offre supporto di base sia per i test di sicurezza delle API sia per la scansione dei container. Checkmarx indica che prevede di continuare a investire in queste aree.
Elementi di attenzione
- La maggior parte dei clienti del fornitore continua a essere sul prodotto CxSAST, sebbene Checkmarx continui a investire nell’espansione del suo portafoglio e delle sue capacità, e anche altri prodotti mostrino una crescita.
- CxDAST si basa su una relazione tecnologica di terze parti ed è disponibile solo come parte di un’offerta di servizi gestiti.
- CxOSA, nonostante mantenga il nome e il set di funzionalità esistenti, è essenzialmente un nuovo prodotto ed è disponibile solo come componente aggiuntivo del prodotto CxSAST.
- Il licensing continua a essere considerato una fonte di insoddisfazione da alcuni clienti, il che potrebbe essere una conseguenza del mix di modelli di prezzo offerti. Soprattutto per SAST, i prezzi sono generalmente basati sul numero di utenti o progetti/applicazioni, un approccio che sta emergendo come standard del settore.
Micro Focus
Con sede nel Regno Unito, Micro Focus è un fornitore globale di prodotti e servizi AST con il noto marchio Fortify. Forte la presenza nei mercati del Nord America, EMEA e Centro America. Fortify offre Static Code Analyzer (SAST), WebInspect (DAST e IAST), Software Security Center (la sua console), Application Defender (monitoraggio e RASP) e Fortify Audit Workbench (AWB). Fortify fornisce il suo AST come prodotto, oltre che nel cloud, con Fortify on Demand (FoD). Il modello ibrido consente agli strumenti FoD di scansionare il codice e integrare i risultati con lo strumento di reporting Fortify e l’ambiente di sviluppo.
Durante lo scorso anno, Fortify ha ampliato il supporto linguistico (26 stack di app per SAST) e l’integrazione con strumenti CI/CD comuni come Jenkin/Jira. Inoltre, Micro Focus ha esteso la sua partnership con Sonatype a un accordo OEM completo e ha integrato lo strumento Static Code Analyzer direttamente in FoD, sebbene supporti ancora Black Duck e WhiteSource. Le offerte Application Security Testing tools di Fortify dovrebbero essere prese in considerazione dalle aziende alla ricerca di una serie completa di funzionalità AST – come prodotto o servizio, o combinate – con funzionalità di integrazione e reporting di classe enterprise.
Micro Focus ha investito in un modello più incentrato sullo sviluppatore DevSecOps. Ciò include il trasferimento più completo di DAST nelle mani dello sviluppo fornendo il coordinamento tra le scansioni FoD e il codice nell’IDE. L’azienda si sta concentrando sull’eliminazione degli ostacoli ai flussi di lavoro completamente automatizzati con funzionalità come la generazione automatica di macro e miglioramenti della scansione API. Fortify supporta modelli di distribuzione cloud-friendly e orchestrazione semplificata e aggiunge il supporto per la containerizzazione. Per facilitare un modello DevSecOps più veloce e più pulito, Fortify ha aggiunto API RESTful e un’interfaccia a riga di comando per i test statici e dinamici.
Punti di forza
- Fortify è una soluzione eccellente per le grandi aziende che gestiscono più progetti complessi, hanno una varietà di stili di codifica e diversi livelli di esperienza. La soluzione ha dimostrato flessibilità e forza nell’affrontare problemi come la sostituzione del codice legacy e stili di sviluppo moderni come i microservizi e ha esperienza nelle attività di fusione e acquisizione.
- Le API RESTful supportate da Swagger e l’ecosistema Fortify integrato sono stati creati per supportare le moderne organizzazioni DevSecOps, un netto miglioramento rispetto alle versioni precedenti della suite di prodotti. Anche le integrazioni open source, sia in FoD sia con l’automazione SSC, Jira e Octane, sono passi importanti in questa direzione.
- Fortify offre test mobili con FoD direttamente, nonché strumenti con SCA e WebInspect a supporto della scansione delle applicazioni mobili.
- Sebbene nessuno abbia risolto completamente il problema dei falsi positivi, Micro Focus ha apportato miglioramenti significativi alla loro riduzione. L’azienda ha esteso la sua Fortify Audit Assistant per consentire ai team di rivedere manualmente le previsioni dei problemi o di optare per previsioni automatiche che consentono un triage automatizzato dei risultati.
Elementi di attenzione
- Sebbene la suite Fortify abbia iniziato a ripagare gli investimenti di Micro Focus, il mercato non ha ancora raggiunto una conoscenza complessiva della soluzione. Le informazioni raccolte da Gartner testimoniano che i pareri dei clienti sono ancora imperniati attorno alle versioni precedenti della suite di prodotti.
- Fortify è nota per la profondità e l’accuratezza dei risultati, che soddisfa le esigenze dei clienti aziendali che sfruttano l’analisi contestuale. Le organizzazioni meno mature alla ricerca di miglioramenti incrementali nel tempo possono incontrare difficoltà con la complessità e il volume dei risultati non filtrati.
- Sebbene Fortify offra licenze e modelli di prezzo altamente flessibili, i clienti riferiscono che la politica dei prezzi è un po’ complessa.
- Le scansioni automatiche sono più veloci di quanto non lo fossero nelle versioni precedenti del prodotto e si adattano bene a DevSecOps, ma i risultati delle scansioni controllate dall’uomo opzionali in FoD sono fuori banda e possono richiedere molto più tempo. Fortify bilancia questo aspetto fornendo ai clienti la possibilità di abilitare audit in banda basati su AI senza intervento umano, sia in locale sia con FoD.
Synopsys
Con sede negli Stati Uniti, Synopsys è un’azienda globale con offerte nelle aree del software e dei semiconduttori. Negli ultimi cinque anni, l’azienda ha attuato una strategia di espansione del proprio portafoglio Application Security Testing tools, per poi integrare tecnologicamente i prodotti e consolidare l’offerta. Ciò ha avuto successo e ora il mercato pare vedere questi prodotti come un insieme ben integrato e un passaggio significativo dalle soluzioni single point al multiprodotto.
La Polaris Software Integrity Platform è diventata lo strumento di gestione centrale per tutti i Synopsys Application Security Testing tools (ad eccezione del servizio gestito DAST, che è ancora autonomo). Anche Code Sight, lo strumento di gestione dei plug-in IDE del fornitore, è stato integrato nella suite di prodotti, con l’obiettivo di fornire un’esperienza in-editor completa, Sebbene rivolto principalmente alle organizzazioni DevSecOps, questo modello developer-centric è consigliato da Gartner come best practice e tutti gli sviluppatori, indipendentemente dalla metodologia, ne possono trarre vantaggio.
Punti di forza
- La suite Synopsys è un punto di ingresso abbastanza facile per le organizzazioni che si avvicinano all’adozione di un approccio alla sicurezza incentrato sullo sviluppo.
- Il plug-in Code Sight ha una forte integrazione con gli IDE per fornire riscontri all’inizio della fase di sviluppo. Inoltre, sfrutta l’IDE per fungere da interfaccia per tutti gli strumenti su Polaris. Una cosa che si adatta bene alla maggior parte dei team di sviluppo, indipendentemente dal livello di esperienza.
- Il supporto per gli strumenti CI/CD (ad esempio, i rapporti Jenkins e Jira) è aumentato in modo significativo negli ultimi anni, con il supporto in Coverity, Seeker e Black Duck utilizzato come parte del ciclo di creazione/test/distribuzione.
- Seeker continua ad essere una delle soluzioni IAST più adottate, con una buona integrazione SDLC.
- I report di conformità Seeker offrono il monitoraggio delle vulnerabilità GDPR e Common Attack Pattern Enumeration and Classification, oltre al monitoraggio PCI DSS, OWASP e CWE.
Elementi di attenzione
- Le opinioni raccolte da Gartner tra i clienti indicano che la precisazione della vulnerabilità e le indicazioni di correzione sono limitati, almeno rispetto ad alcuni concorrenti.
- I clienti di piccole e medie imprese hanno affermato che, nonostante le soluzioni siano interessanti, il prezzo è spesso al di fuori dei loro budget, il che li li porta a cercare alternative meno costose. Anche il processo di vendita di Synopsys è un po’ complicato.
- Synopsys offre DAST solo come servizio gestito. I servizi gestiti Synopsys AST sono orchestrati attraverso un portale basato su cloud separato da Polaris; tuttavia, i risultati dei test del servizio gestito possono essere visualizzati tramite lo strumento di reporting Polaris.
- Sebbene Seeker disponga di report per vari regimi di conformità normativa, la conformità è molto più complicata di una serie di scansioni. Gli utenti devono essere consapevoli di essere responsabili dell’intero ambito di audit e delle misure di conformità normativa.
Veracode
Con sede negli Stati Uniti, Veracode è un fornitore di Application Security Testing con una forte presenza nel mercato nordamericano e nel mercato europeo. L’offerta Veracode include una famiglia di servizi SAST, DAST, IAST e SCA circondati da un hub di analisi e gestione delle policy, nonché moduli di e-learning. Greenlight è un plug-in SAST per gli IDE Eclipse, IntelliJ e Visual Studio. L’azienda fornisce anche Application Security Testing tools mobile e un programma di attestazione dell’applicazione chiamato Veracode Verified, che consente di fornire un’attestazione di terze parti del livello di sicurezza dei propri prodotti a un potenziale acquirente.
Veracode ha introdotto il supporto alle moderne distribuzioni di applicazioni nel cloud e nei container; inoltre, ha unito la sua offerta SCA originale e il prodotto SourceClear SCA recentemente acquisito in una nuova offerta SCA in grado di scansionare sia localmente sia nel cloud. Anche la copertura linguistica è stata estesa. L’offerta di Veracode può soffisfare le richieste delle organizzazioni che cercano un portafoglio completo di servizi AST insieme a consulenza AST su misura, ampia copertura linguistica e facilità di implementazione e utilizzo.
Punti di forza
- Gartner ha constatato che i clienti Gartner valutano molto positivamente la rapida configurazione, la facilità d’uso e la scalabilità della soluzione.
- I servizi di Veracode includono consigli su misura per la vulnerabilità, la riparazione e le revisioni delle mitigazioni ove necessario, che possono essere utili per ridurre i tempi nelle organizzazioni in cui gli sviluppatori non sono esperti di sicurezza delle applicazioni.
- Veracode trasmette le informazioni raccolte dalle scansioni basate su cloud al motore e al database. Questo viene utilizzato per migliorare la precisione attraverso l’apprendimento SaaS, aggiornamenti SCA più rapidi e consigli per una risposta rapida alle vulnerabilità note.
- L’offerta SCA di Veracode consente la scansione locale e cloud agent-based, che fornisce un database unico con il 50% di vulnerabilità in più rispetto al National Vulnerability Database. La soluzione può anche eseguire la scansione di test di applicazioni di terze parti o cloud SaaS con il loro consenso, nonché di applicazioni COTS come quelle fornite da fornitori di software indipendenti.
Elementi di attenzione
- Veracode non offre Application Security Testing tools che possono essere installati in locale, solo AST come servizio.
- L’azienda non offre la scansione dinamica delle API, una capacità sempre più disponibile nelle soluzioni concorrenti, che si basa invece su AST statico e interattivo. Veracode, inoltre, non consente il rilevamento delle API.
- Alcuni clienti intervistati da Gartner la prima linea di supporto come elemento da migliorare. Inoltre, anche se Veracode è presente in tutto il mondo, offre supporto solo in inglese.
WhiteHat Security
La piattaforma Sentinel di WhiteHat Security continua a distinguersi nei casi in cui DAST è un requisito, comprese le applicazioni basate sul Web e le API, sia in produzione che in preproduzione. Inoltre, in parte in virtù di una partnership con NowSecure, Sentinel si posiziona bene per AST mobile, dove combina test comportamentali con scansioni SAST e DAST di linguaggi mobili popolari come Java, Objective-C e Swift.
Gartner ha notato che i clienti si complimentano fornitore per i miglioramenti umani e basati sul machine learning ai test, inclusa la convalida dei risultati e i test di penetrazione opzionali. WhiteHat è stato il primo vendor a offrire un’assistenza che comprende una chat con gli sviluppatori per avere aiuto nella comprensione di vulnerabilità specifiche.
WhiteHat è stata acquisita da NTT Security nel luglio 2019 e opera come sussidiaria indipendente. Le capacità di vendita e supporto si sono tradizionalmente concentrate fortemente sul Nord America, con una presenza limitata in Europa e nella regione Asia/Pacifico. L’acquisizione da parte di NTT apre la possibilità di canali di vendita e di supporto più ampi.
Punti di forza
- WhiteHat ha una solida reputazione come fornitore di servizi DAST-as-a-service e dovrebbe essere presa in considerazione dagli acquirenti che cercano una piattaforma AST SaaS.
- L’azienda continua a perseguire la sua strategia di affrontare i requisiti delle organizzazioni DevOps con prodotti SAST, SCA e DAST differenziati per le fasi di sviluppo, creazione e distribuzione. In genere, le opzioni nelle prime fasi del processo, come SAST e SCA per gli sviluppatori, sono ottimizzate limitando l’ambito del test per avere un ritorno rapido.
- I clienti di WhiteHat apprezzano i servizi di supporto offerti. Come detto, questi includono la verifica delle vulnerabilità, test di penetrazione e la possibilità di sfruttare gli ingegneri del Threat Research Center per discutere i risultati.
- Le funzionalità di correzione di WhiteHat SAST vanno oltre l’identificazione del punto di riparazione ottimale per fornire automaticamente patch di codice personalizzate che possono essere copiate e incollate nel codice per correggere le vulnerabilità identificate.
- WhiteHat Sentinel Dynamic fornisce DAST continuo e sicuro per la produzione dei siti Web con rilevamento e valutazione automatici e avvisi per le vulnerabilità più recenti.
- I risultati DAST possono essere forniti a una varietà di soluzioni firewall per applicazioni Web, consentendo la creazione di regole per mitigare le vulnerabilità fino a quando non possono essere risolte nel codice.
Elementi di attenzione
- WhiteHat non offre una soluzione IAST. Utilizza i risultati SAST per informare le scansioni DAST per una maggiore precisione.
- Il riscontro dei clienti indica una certa insoddisfazione per le interfacce utente dei prodotti. I plug-in IDE, ad esempio, sono funzionali, ma le informazioni supplementari ed esplicative sono spesso formattate male.
- L’offerta SAST di WhiteHat ha un supporto linguistico limitato rispetto alle offerte della concorrenza.
- WhiteHat non offre Application Security Testing come tools, ma solo come servizio cloud. Anche se può fornire un’appliance virtuale in loco che esegue scansioni presso il sito di un cliente, fornendo i risultati al cloud per la verifica, la correlazione e l’inclusione nelle dashboards per la reportistica e l’analisi.
Fornitori aggiunti ed eliminati
Gartner rivede e adegua i criteri di inclusione per i Magic Quadrant al mutare dei mercati. Come risultato di questi aggiustamenti, il mix di fornitori in qualsiasi Magic Quadrant può cambiare nel tempo. L’apparizione di un fornitore in un Magic Quadrant un anno e non quello successivo non indica necessariamente che Gartner ha cambiato opinione su quel fornitore. Può essere un riflesso di un cambiamento nel mercato e, quindi, dei criteri di valutazione modificati, o di un cambiamento di focalizzazione da parte di quel fornitore.
In questo caso, il 2020 EA Magic Quadrant di Gartner registra l’ingresso di Onapsis, HCL Software e GitLab. In base ai nostri criteri di inclusione ed esclusione, sono invece usciti Acunetix, IBM e Qualys.