这篇文章是在此前《应用安全AppSec市场竞争日趋白热化，究竟为何？》文章基础上的延续。如果您还没有阅读过，建议先阅读，以了解上下文。

正如我之前所写，过去5年中有4种类型的供应商进入了AppSec市场。这篇文章进一步阐述了这一趋势，特别是“下一代”应用安全初创公司。

许多成熟的AppSec供应商多年来一直在市场上推出现有产品。这些都是安全行业的知名产品，受到大型企业的青睐。坦率地说，其中许多供应商正在陷入困境。这些供应商为前5%的最大客户添加了新产品功能，并过度消耗精力与竞争对手竞争以保持领先地位。

• 供应商精力分散，缺乏对更广泛的开发者生态系统、开源替代方案和现实世界客户需求的市场认知

• 安全产品日益复杂和臃肿，难以安装、配置、支持和使用

• 产品本身的价值逐渐减少，与替代解决方案相比，客户所需的付出逐渐增加

• 产品创新放缓或完全停滞不前

• 供应商在整体市场中失去了增长和市场份额。

AppSec供应商Snyk充分意识到了上述情况，并且是AppSec安全测试市场上最早的重要创新者之一。Snyk成立于2015年，获得了小额种子轮融资，最初通过专为开发人员量身定制的更易于使用的软件组合分析(SCA)产品来解决开源安全问题。

三年后，即2018年，Snyk获得了700万美元的A轮融资，拉开了过去几年一系列积极融资的序幕。截至2023年8月，他们已经在13轮融资中筹集了惊人的12亿美元，希望上市。Snyk也是连续收购者，将其中的部分资金投入使用。迄今为止，Snyk自2019年以来已收购了8家公司，其中包括2020年9月收购的DeepCode，赋予其静态应用程序安全测试(SAST)能力，以及最近于2023年6月收购的应用程序安全态势管理(ASPM)初创公司Enso Security。Snyk还一直忙于构建自己的公司拥有数十家技术合作伙伴和产品集成的合作伙伴生态系统。

最终结果：自2018年以来，Snyk已从最初专注于SCA的小型AppSec初创公司发展成为拥有1,100多名员工的大型多产品AppSec供应商。Snyk正在慢慢地、有条不紊地蚕食AppSec测试市场，同时赢得开发者的青睐，并追赶Veracode、Synopsys、Checkmarx等竞争对手。

• 应用安全态势管理(ASPM)/应用安全编排和关联(ASOC)：用于摄取、规范化、重复数据删除和优先化AppSec测试工具扫描结果和/或编排AppSec测试工具的工具

• AppSec测试/工件扫描：SAST、DAST、IAST、SCA等工具

• 软件供应链安全：通过生成软件物料清单(SBOM)、强化的SDLC管道等，确保开发的软件是实际发布的软件的工具

• 运行时应用安全：Web应用程序防火墙(WAF)、运行时应用自我保护(RASP)等工具

对这些新的“下一代”AppSec初创公司的一个有趣观察是，它们并不像传统AppSec供应商那样完全适合一个市场类别。有些是这样做的，但这些初创公司中的绝大多数更专注于解决市场中存在差距的特定用例，而不是适应市场现有类别“桶”。

例如，成立于2019年的Start Left Security就有一个ASPM平台。然而，Start Left Security还具有软件组合分析(SCA)功能，并且可以生成SBOM以支持软件供应链安全-因此它们实际上是一个跨三个领域的混合平台：ASPM+AppSec测试+软件供应链安全。Start Left Security并不是唯一一家拥有多种功能的供应商。Rezilion、Endor Labs、Apiiro、Deepfactor、Oxeye Security等也提供多种互补功能。

对这些初创公司的第二个观察结果是，它们迎合开发人员，适应现有的开发环境和DevOps流程。众所周知，传统的AppSec工具使用起来可能很痛苦-开发人员和安全团队被迫适应它们，而不是相反。然而，这些新的初创公司优先考虑易用性、技术集成和强大的合作伙伴生态系统，以便与现有的开发环境和流程集成，使它们比传统的AppSec工具更容易使用。对于上述所有初创公司来说都是如此。

• 开发者易用性

• 更轻松的产品集成

• 源代码中硬编码的密钥

• 在SDLC中自动化/编排安全工具

• 提供对应用程序源代码风险的更大可见性

• 协助漏洞修复

• 切实解决软件供应链风险

也就是说，让我详细说明一个例子：传统的AppSec测试产品通常非常慢，因为它们通常会扫描所有应用程序源代码或二进制文件，无论是否使用代码库或二进制文件。因此，这些产品可以产生大量（也称为超载）结果-这对于最终用户来说是一把双刃剑。然而，一些“下一代”AppSec测试初创公司正在利用更有效的扫描方法，仅扫描实际使用的应用程序代码库或二进制文件。或者，他们可能知道发现的漏洞是否可触及，而不仅仅是报告其他漏洞，从而大大减少扫描结果“噪音”。

除非客户需要发现并修复所有应用程序漏洞或要求遵守MISRA、ISO 26262等行业标准……这些更具创新性、更快、更简单的“下一代”AppSec测试初创公司之一可能是与试图提供完美结果的传统AppSec测试供应商相比，这是更好、更高效的选择。

正如著名的AppSec行业专家Tanya Janca在2023年7月的IANS博客文章中指出的那样，“在我看来，95%的公司不需要完美，他们只需要让恶意行为者付出非常昂贵的代价来尝试开发。在这种情况下，第二代SAST很可能是您的正确选择。”

因此，关于传统AppSec工具要问的问题是：Is the juice worth the squeeze（这事儿值得吗）？对于少数客户来说，它们是绝对必要的，但对于大多数客户来说，传统的AppSec工具可能过于杀伤力、昂贵且繁琐。

最近出现的一个值得注意的趋势是，较大的安全和可观测性供应商正在收购AppSec初创公司，以增强现有产品或为其提供全新的AppSec功能（或许还有额外的收入来源）。

• 2023年7月-传言：CrowdStrike将收购Bionic.AI

• 2023年6月-BluBracket被HashiCorp收购

• 2023年6月-Enso Security被Snyk收购

• 2023年5月-Ion Channel被Exiger收购

• 2022年11月-Cider Security被Palo Alto收购

• 2022年5月-Hdiv Security被Datadog收购

• 2022年2月-Spectral被Check Point收购

• 2021年7月-Sken.ai被Fortinet收购

• 2021年6月-Code Dx被Synopsys收购

• 2021年5月-FossID（资产）被Snyk收购

• 2021年2月–Sqreen被Datadog收购

• 旧的现有AppSec测试类（例如：Veracode、Synopsys、Checkmarx等）

• 可观测性/监控类（例如：New Relic、Dynatrace等）

• DevOps平台类（例如：GitHub、GitLab等）

• 云原生应用程序保护平台(CNAPP)类（例如：CrowdStrike、Sysdig等）

原文链接：

https://davidvance.substack.com/p/how-next-gen-appsec-startups-are