Gartner 应用程序安全测试 (AST) 魔力象限 2025

企业之中负责安全事务的人员正遭遇着从来都没有过的挑战，AI所生成的代码，云原生架构，以及开源组件漏洞，致使传统的安全测试手段显得力不从心。在2025年10月份发布的Gartner应用安全测试魔力象限，披露了AST市场究竟怎样去应对这些全新的威胁。

市场范围扩大背后的三大驱动力

人工智能技术的普遍推广正在转变代码开发的方式，开发人员借助AI编程助手所生成的代码数量急剧增多，而这些代码有可能涵盖训练数据里的安全隐患，Gartner报告表明，AI代码的安全测试需求已然演变成AST厂商必须去应对的新问题。

现代应用架构历经从单体朝着微服务以及容器化的转变 ，往昔传统的单体应用安全测试方式难以适配频繁变动的云原生环境。测试工具需求用以支持面向API安全 、容器镜像扫描以及基础设施亦即按照这样规范模式开展进行代码核查。

软件供应链攻击事件频繁发生，SolarWinds以及Log4j等案例将开源组件的极大风险暴露了出来。组织不但要对自研代码进行测试，而且还要对依赖库、第三方API以及构建管道的安全性予以评估。这三股力量一同促使AST市场范围扩充了一倍多，是这样的情况。

应用安全态势管理成为核心能力

应用安全态势管理并非单纯只是漏洞扫描，而是着重于对风险进行持续的监控以及量化评估，Gartner把它定义为AST产品必须具备的功能，要求厂商可识别应用组合里风险的分布，系统要自动关联漏洞的业务关键性、暴露面以及可利用性。

有助于团队摆脱漏洞疲劳的测试结果评估与管理功能，现代AST平台会依据CVSS评分、威胁情报以及上下文信息对漏洞展开优先级排序，比如说，要是一个涉及敏感数据且面向公网的低危漏洞，其处理优先级会比内网的高危漏洞还要高。

有策略评估以及执行，以此确保安全测试符合企业合规要求，产品得支持自定义安全策略，像禁止使用特定许可证的开源组件这种策略，修复支持功能会提供代码级精准修改建议，乃至部分先进工具还能自动生成补丁代码。

软件供应链安全测试深度集成

存在于AST市场里的软件供应链安全，已然变成了独立的竞争维度。Gartner向厂商提出要求，要厂商提供软件物料清单的生成能力，还要提供软件物料清单的分析能力，以此来帮助组织弄明白应用当中究竟包含了哪些开源组件。那一些SBOM，得对SPDX予以支持，还得对CycloneDX等主流格式予以支持。

对于供应链风险的辨认，不再只是停留在组件版本的那个层面了。现代的AST工具，会去剖析组件跟应用之间的交互方式，以此来检测组件当中，是不是存在着已经被激活的漏洞路径。比如说，某一个Log4j版本，尽管它存在着漏洞，可是要是应用没有调用相关的函数，那么风险等级就会下降。

供应链安全得以落地的关键之处在于与开发流程的集成，AST产品必须要无缝接入CI/CD管道，在代码提交以及构建阶段会自动触发组件扫描，当出现新漏洞披露这一情况时，系统能够回溯哪些处于运行状态的应用受到了影响，并且会阻止含有高危组件的版本上线。

开发者赋能降低安全修复成本

把安全能力提前移到开发的阶段，这属于AST市场的重要趋势。Gartner着重指出，产品得要有能赋予开发者能力的功能，这其中涵盖提供IDE插件以及本地测试这种环境。开发人员在编写代码之际就能实时看到安全发出的警告还有给出对应的修复建议。

直接影响漏洞闭环效率的是修复支持能力，优秀的AST工具呢，会结合代码上下文去生成可操作的修复示例，并非只是抛出抽象的CWE描述，像SQL注入这种常见漏洞，系统能够直接展示参数化查询的改写代码。

具备联动性的安全培训和测试结果，能够提升团队整体呈现出的能力。有部分厂商，在漏洞详情页当中嵌入了存在交互性质的课程链接，当开发者把问题修复完成之后，便能够去学习与之相关的安全知识。这样的一种设计，把单纯作为管控工具的安全测试，转变成为构筑能力的平台。

魔力象限四类厂商的定位差异

领导象限的厂商，提供最为完整的AST平台能力，它们同时覆盖SAST技术、DAST技术、IAST技术以及SCA技术，并深度集成至DevOps工具链中，这类厂商的典型代表具有庞大的客户基础，且拥有持续的产品创新投入。

处于挑战者象限的那些厂商，在执行能力方面展现出极为优异的表现，然而其愿景却并不够超前，进而显得不够突出。它们一般而言，在某些具备特殊性的行业或者特定的区域占据着垄断地位，所生产的产品稳定且可靠，可是在诸如AI安全、云原生支持等新兴的领域，跟进的速度相对较慢。这类厂商适合面向那些有着成熟解决方案需求的大型传统企业。

有着远见卓识的厂商处于有远见者象限，在技术创新领域占据领先地位，然而其市场份额却比较小。它们常常会率先推出面向特定场景的创新功能，像是API安全测试或者容器运行时分析。挑选这类厂商意味着能够获取前沿能力，不过要接受相对而言并不完善的生态集成。

致力于特定领域者象限的厂商，将精力集中于AST市场里的某一细分领域，举例来说，存在一些厂商，仅仅从事移动应用安全测试工作；还有一些厂商，仅针对嵌入式系统开展业务。要是企业的需求刚好与之契合，那么这些具备深度专业性的产品，或许相较于领导者更具适合性。

如何根据业务目标选择AST厂商

选择AST产品的第一步，是明确自身应用风险偏好，以及开发流程。金融行业要求严格覆盖全部代码变更，而初创公司或许仅关注公网应用的关键漏洞。Gartner建议不要一味追求领导者象限，匹配度相较于知名度更为重要。

对厂商展开评估之际，应当要求开展概念验证测试，运用自身团队的地道代码库，去核验各个产品的漏洞检出比率、误报比率以及修复体验，数据显示，不同厂商于检测特定种类漏洞之时的表现差异能够超过3倍。

考量往后三年期间的技术演变线路同样是至关重要的。要是企业打算全方位转移至Kubernetes环境之中，那就一定要保证AST产品能够支持容器镜像扫描以及编排工具的整合集成才行。在未来两年里，软件供应链安全能力方面需求的优先紧要等级会持续不断地递增态势的。

观摩完这份二零二五年的 AST 魔力象限剖析，你觉得你们当下的应用安全测试体系里最急切要进行升级的是哪一个环节呢——是供应链安全方面、开发者赋能这块儿，还是 AI 代码审计能力这一领域？欢迎于评论区讲述你的实践难题以及选型经历，点赞并转发使更多安全同行瞧见这份避坑指南。

相关标签： # Gartner # 应用程序安全测试 # 魔力象限 # AST # 软件供应链安全