从新思科技谈AST市场现状 | WitAwards 2017“年度创新产品”参评巡礼

2017 年 11 月 9 日 FreeBuf 欧阳洋葱

我们刚看到 Synopsys（新思科技）参评 WIT 时还是略感诧异的，因为 Synopsys 这家公司在 EDA（电子设计自动化）领域可算是全球的排头兵。目前全球范围内最有名的半导体企业，包括晶圆工厂和从事物理设计的 Fabless 半导体厂商，如 Intel、高通、台积电、三星、AMD 等大多都是 Synopsys 的客户。这家公司在 IC 数字前端、数字后端和签核（Signoff）方面都经验非常丰富，而这些可以称得上电子科技行业科技含量最高的领域之一了，在“硅工”业内也算是无人不晓的一家公司。

举个简单的例子，如果你对移动行业颇关注，应该还记得 2015 年三星率先用上 14nm FinFET SoC，所以 Exynos 7420 成为当时绝对领先高通骁龙 810 的一代产品，而且三星首次在制程方面超越台积电。而三星的第一颗 14nm FinFET 流片（2012 年），就是三星和 Synopsys 合作达成的。Synopsys 针对嵌入式存储、物理设计、寄生撷取、时序分析和签核提供了综合解决方案[1]。这种层面的合作通常都会持续数年，再比如近期 Synopsys 才完成了针对台积电 7nm 制程的 DesignWare Foundation 和 Interface PHY IP 试产，包括 logic libraries、嵌入式存储、嵌入式测试与修复、USB 3.1/2.0、DDR4/3 等[2]。即便是和高通这样的 Fabless 厂商，Synopsys 与其也有合作：虽然高通没有晶圆制造工厂，但也从事物理设计——虽然台积电代工的一波 20nm SoC 在高通历史上算是相当失败，但也是与 Synopsys 合作的产物。

从 Synopsys 公布的 2017 财年 Q3 财报来看，这家公司 2017Q3 收益为 6.964 亿美元，相比上一财年同期增长 13.0%；净利润 1.168 亿美元，去年同期为 6472 万美元[3]。从财报各项数据来看，这家公司的成长都算是相当健康。在如此高新科技领域算是如鱼得水了，不过半导体行业很早就已经步入成熟期了，而且和安全的关联并不大，参评 WIT 年度创新产品的意思是？

Synopsys 的 Software Integrity 团队高级副总裁 Andreas Kuehlmann 曾经说过：

“Synopsys 的成长战略三大支柱：处于领导地位的 EDA、成长中的 IP（授权业务），以及软件应用质量与安全。”[4]

所以我们要谈的是 Synopsys 的应用质量与安全平台业务：或许在本文开头，我们可以将这个业务更明确地表述为 Application Security Testing（AST）应用安全测试。可惜我们没有渠道了解 Synopsys 现如今三大业务的收益构成，所以没法确切分析，应用质量与安全测试业务在 Synopsys 的布局中大约是怎样的份额。但随安全行业本身大趋势的上涨，以及应用安全测试领域的崛起，AST 是个绝对的高增长行业，而且是当前安全行业增长最快的——这和 Synopsys 起家的半导体行业如今已经进入成熟期形成了相当鲜明的对比。可以预见，AST 未来真正会成为 Synopsys 业务中的一大“支柱”。

有趣的是，这家公司的 SLOGON 为 “Silicon to software”，早年这里的 “software” 恐怕主要是指电子设计自动化工具，而现在则明确扩展到了应用安全领域。这篇文章中，我们会尝试就 Synopsys 的应用质量与安全平台和产品，谈一谈 AST 领域本身。

安全行业中的增速之最：AST 市场

如果材料技术短期内没有突破性发展，摩尔定律实质上的失效让半导体行业的发展空间越来越小，这可能是 Synopsys 寻求新业务增长点的一个原因。而应用安全测试市场的一大驱动力在于，企业组织遭遇的安全事件越来越多，且大部分都在应用层面，这促使企业组织不得不在应用安全测试中加大投入。此外，数据安全的强制性合规、公有云的普及，以及复杂威胁数量增多，都在促进应用安全测试市场的扩大。这一市场的其它推动力还包括新一代威胁情报解决方案的发展，BYOD（Bring Your Own Device）的流行等。

Gartner 在《2017 应用安全测试魔力象限》报告中提到[5]，在其调查中，67% 的受访者表示在 2019 年年末前，自动化与集成应用测试采用率的增长，会排在其关键安全策略的前三位。从 2015 年之后，针对应用层面的持续入侵，以及企业应用的增长，都造成了应用安全需求的增长。

预计应用安全测试市场一直到 2020 年都会有 14.2% 的年复合增长率，这是 Gartner 所调查整个信息安全行业中增长率最高的领域——全球整个信息安全市场到 2020 年预计的年复合增长率为 7.8%。估计 2016 年应用安全测试市场规模已经达到了 7.19 亿美元。

Research and Markets 给出的一组数据这里供参考[6]，2015 年应用安全市场中最大规模的 web 应用安全解决方案市场规模约为 17.5 亿美元（统计机构间存在数据差异）——web 应用安全市场增长趋势未来可能会下降，而移动应用安全解决方案从 2016 年到 2025 年的年复合增长率会达到 25.9%。预计到 2025 年，全球应用安全市场规模将会达到 107 亿美元——仅 DAST（动态应用安全测试）市场规模就会超过 40 亿美元。

那么应用安全测试（以下将简称为“AST”）市场究竟是如何定义的呢？Gartner 对其定义为针对安全缺陷进行分析和测试的产品和服务，买家和卖家构成了这一市场[5]。Gartner 认为 AST 产品与服务主要有三种形态，分别为：

SAST（静态 AST），针对安全缺陷，分析某个应用的源码、字节码或二进制代码，主要位于 SDLC（软件开发生命周期）的编程和/或测试阶段；

DAST（动态 AST），在测试或运营阶段，在动态运行状态下对应用进行分析；这种方式会针对应用（典型的 web 应用和服务）进行攻击模拟，并分析应用的响应来确定是否存在安全缺陷；

IAST（交互 AST），对运行应用进行由内而外的监测观察，同时配合 DAST。典型实施方案为在测试运行时环境内作为一个媒介（agent）存在（如 JVM 或 .NET CLR），从应用内部观察运行或攻击，识别安全缺陷。

实际上，SAST 和 DAST 更直白可理解为白盒与黑盒测试。而 IAST 是在运行应用内部获取信息，包括运行时请求、数据流、控制流、库以及连接，来发现安全问题。这三种方案是各有优劣的，比如 SAST 通常无法发现运行时以及与环境相关的问题(在 API、web 服务或者 REST 端点上运行某个静态工具，是无法发现其上的问题的），而 DAST 更多应用在 SDLC 周期末尾，灵活性不够，且成本偏高。所以 SAST 和 DAST 经常需要同时部署。

IAST 一般被认为是为解决 SAST 和 DAST 两者短板而生的[8]，在应用内部放个 agent，在应用中进行实时分析，可在开发流程 IDE、持续集成环境、QA 甚至已发行产品等各种位置应用。IAST 能够对整个 App 的代码进行分析，包括运行时控制与数据流信息、配置信息、HTTP 请求和响应；库、框架与其它组件；后端连接信息。(此处没有加入 RASP 的考量，可能是在于 RASP 更像是安全工具，而非测试工具，但 Gartner 在报告中提到，提供 RASP 的供应商对于其魔力象限排名会有加成。）

值得一提的是，还有一些机构扩大了 AST 的范围，比如 Transparency Market Research 将移动 AST（Mobile Application Security Testing）也作为 AST 的组成部分[7]。顾名思义也就是针对移动 App 的安全测试产品和服务，如 Synopsys 就提供 MAST 服务，预计明年 Gartner 也会将这部分纳入到魔力象限的考察范围内——这其实也表现出 AST 市场的新生形态。

而说到 IAST，就不得不谈这部分市场还有个更为重要的趋势。我们先前所推的《2017 金融行业应用安全态势报告》和《2017 年度移动 App 安全漏洞与数据泄露现状报告》实际上都属于 AST 领域的关注范畴。谈论 AST，关注安全的同人多少都可以说出个一二三，比如渗透测试、模糊测试，都可针对企业应用进行。不过如渗透测试这类 DAST 方案，很多情况下是将安全置于业务流程靠后位置的安全解决方案，即便它是有效的，却也有缺陷。这两份报告同时提到一个话题，即安全应当融入到开发甚至业务当中去，而不应割裂。后一篇报告还细致到应用开发的每个环节，包括规划、设计、研发、测试等。

在某些特别的领域，比如医疗 IoT 设备领域，如果不能践行这种将安全融入到开发每个环节中去的原则，将安全与开发割裂开来，最终需要承担的成本是无法估量的。表现到企业应用中，最直观的损失就是数据泄露。

敏捷型（Agile）开发，以及 DevOps 的实践，其本质就是更快和更具弹性的开发方式，这对融入业务流程中的安全测试也就提出了更高的要求，安全也不应该成为拖累应用延后发布的原因（或者说不应该存在已经发行的应用包含已知安全漏洞的情况）。如上所述，IAST 在特性上就具有融入 Agile（以及 CI/CD 持续集成持续部署）开发方式的特点。这就是当代企业应用开发的趋势，应用安全测试方案能否迎合这样的趋势，是企业客户对这类产品接受度的重要考量因素。

Synopsys 并购形成的闭环：不光是 AST

AST 市场的重要参与者包括了 Cigital、IBM、HPE、Veracode、Trustwave，还有国内的绿盟（NSFocus）等等。其中的 Cigital 可以算是 SAST 产品的始祖（1999 年发布的 ITS4[9]），这家公司早在 1992 年成立之际就获得了 DARPA 的资助。Cigital 曾构建比较知名的 BSIMM（Build Security in Maturity Model），这是个软件安全衡量框架，用于评估其当前状态衡量软件安全实施（SSI）有效性的方案。

而 Synopsys 原本作为一家电子设计自动化提供商，从其发展历程来看，入主 AST 领域的主要方式就是并购。2016 年，Synopsys 收购了 Cigital[10]，同时到手的还有 Codiscope。Cigital 的工具和 IP 因此融入到了 Synopsys 的软件开发方案中。如上面提到的 BSIMM 如今就是 Synopsys 布局安全软件开发的其中一环。

就安全开发的角度来看，对 Cigital 的收购几乎标志着 Synopsys 完成了整个软件安全与质量平台的收敛——或者说形成了全系列产品，这一套解决方案并不单纯只是 AST——所以我们会发现 WIT 评选中 Synopsys 的产品有“质量”和“平台”二字，而不止是安全，虽然安全仍是核心。这全套方案的形成还真有点儿其 EDA 领域血统的传承，因为在 EDA 领域，虽仍有其他竞争对手（比如 Cadence、Mentor），且彼此各有所长，Synopsys 仍然为芯片制造商提供全套方案和服务。

这其实符合企业安全市场大趋势做闭环的风格（虽然 Synopsys 的全系产品是软件安全开发，或许称作闭环还不够确切），毕竟企业客户都不希望增加内部 IT 结构的复杂性，多个供应商的情况已经让企业很头疼了。所以 Synopsys 大致期望达到的目标就是，要做软件开发吗？质量和安全都找我吧。即便很多情况下，大部分企业仍然不会选择将资源押宝在一家供应商身上。

从 Synopsys 的官网首页不难发现，其目前第三大业务就是“软件安全与质量”，口号是“给你的 SDLC 和供应链注入安全与质量”，给这部分业务起名叫“Software Integrity”，恕我们无力以准确的中文还原这个营销概念，不过它所代表的就是软件安全 + 软件质量。这家公司的中文官网也没有翻译这一概念，而将其统归为“应用安全和软件安全解决方案及产品”，我们认为这个总结还不够到位。来看一看其软件质量+安全产品布局究竟长什么样：

这个 Software Integrity 平台包括四个组成部分，分别是产品、托管服务、程序设计与开发、专业服务。这里的“产品”和“托管服务”主要就针对 AST，而程序设计和开发，以及专业服务部分，则更专注于指导客户如何将安全融入到开发流程中，比如 CI/CD 部分就是在客户的持续集成持续部署开发工作流中注入其安全产品和服务方案；软件架构与设计（Software Architecture & Design）则着力于设计中的软件安全问题，加强架构安全；还有像软件测试优化（Test Advisor）亦属于为企业提供定制的解决方案了。

此外值得一提的是产品布局外圈有个“Training”培训，这是 Synopsys 为开发者提供的安全培训，包括软件安全课程（从 web 与移动应用测试到防御式程序设计）、Synopsys 的产品使用培训，还有一款轻量级的静态分析工具 SecureAssist（编程过程中自动检测一般应用漏洞，这也是收购 Cigital 之后得到的一款产品）。培训课程有引导式的私人课程，也有自学的在线课程。所有这些形成了 Software Integrity 平台，其中代码“质量”和“安全”存在密不可分的关系，用 Synopsys 自己的话来说：

“Secure code is synonymous with quality code.”

在谈产品之前，有必要说一说 Synopsys 在这一平台搭建的历史上，并非仅收购了 Cigital 这一家公司。毕竟仅 Cigital 也很难形成闭环。

Synopsys 公司发展历程上的一大传统就是通过大量收购来获得技术[11]：1986 年这家美国公司成立之后，从 1994 年就开始了每年多次的收购交易，仅 2006 年一年 Synopsys 就收购了至少 8 家公司，不过前期都是为其 EDA 及 IP 授权业务服务的。2015 年 4 月 20 日，Synopsys 宣布收购 Codenomicon 应该是这家公司真正注重 Software Integrity 平台的开端。Codenomicon 就是那家最早发现著名的“心脏滴血”漏洞的公司[12]——这家公司专攻的领域在解决嵌入芯片和设备软件中的安全问题。

Synopsys 现如今的 Defensics 模糊测试工具就来自 Codenomicon。而后者的 SCA 软件构成分析也融入到了 Coverity 平台——也就是 Synopsys 现在的静态分析。SCA 软件构成分析的主要价值在于减少软件中第三方和开源组件的安全风险，SCA 实际上是应用安全测试的重要加分项，现在也算是 Synopsys 的拳头产品，下一个段落还会对此进行介绍。

相关软件质量与安全开发的主要收购行为还包括，Synopsys 于 2015 年 5 月宣布收购 Quotium 的 Seeker 产品（以及 Seeker 的研发团队）——这对 Synopsys 而言也具备了重大意义，因为 Seeker 是一款 IAST 产品，填补企业市场的 web 应用安全需求[4]。有关 IAST 是什么的问题，前文已经说得比较明确，所以对 Seeker 的收购应该说极大补足了 Synopsys 的产品全线布局空缺，毕竟 IAST 是实现安全测试技术快速融入 SDLC 的重要产品类别。

同年 11 月，Synopsys 宣布收购 Protecode[13]。这家公司所做的是检测和管理开源软件和相应证书与安全风险解决方案。说简单点，本次收购是为 Synopsys 的 SCA 软件构成分析提供进一步加成。毕竟开源软件和第三方组件普遍应用于软件开发，这些组成部分其实也是重要的安全隐患所在，所以保持整个软件供应链的可视性和风险管理，就是 Protecode 的核心所在。Gartner 的应用安全测试魔力象限虽然并未主要考察 SCA，但也将其作为加分项特别指出。Protecode 对于 SCA 的加强主要体现在通过开源代码分析、开源软件管理与策略实施特性，以及专有的 Global IP Signature Database 签名数据库来加强开源软件证书检测。到此，Synopsys 的 SCA 方案已经比较完备了。

不过 Synopsys 似乎对 SCA 仍有更深度的寄托，所以就在前几天，Synopsys 宣布完成对 Black Duck Software 的收购[14]。这家公司核心技术也是保护和管理开源软件，所以作用也在于加强 Synopsys 原有的 SCA 方案。Black Duck 的价值在于对识别开源代码、发现已知安全漏洞和证书合规问题实现自动化，并且也为影响开源代码最新发现的漏洞提供自动告警。

加上前面提到对于 Cigital 的收购，Synopsys 的 Software Integrity 平台也就大致勾勒出来了。这里没有谈到的还包括测试优化、威胁情报、网络渗透测试等。不过像 Synopsys 原本在 EDA 领域就形成原始资本积累的企业才有这么玩的基础，毕竟这家公司在正式投入到软件质量与安全领域之前就已经活得相当滋润了。

但可能 Synopsys 的视野可能远不止如今这般，所以收购动作可能还会持续很长一段时间，毕竟甚至其触角可能不限于应用开发。或许 Synopsys 的安全产品布局未来几年内还会有变动——谁让人家钱多呢。

Synopsys 的 Software Integrity 平台

以并购方式积累技术的企业不在少数，不过 Synopsys 的动作的确是相当快的，尤其是在产品的融合方面。那么收购了这么多公司，实际效果如何呢？由于 Software Integrity 的产品和服务类别太多，这里无法一一罗列，仅提及其中的几个。还是从 Gartner 的魔力象限说起。

由于 Synopsys 这两年在软件质量和安全平台方面的收购动作过于频繁，所以即便是 Gartner 于今年 2 月发布的魔力象限报告都有些信息滞后（比如并不包含 Black Duck 的收购考量）。今年的 AST 魔力象限中，Gartner 将 Synopsys 放在 Leaders 领导者象限，这应该算是对这两年 Synopsys 频繁收购动作的极大肯定了。而这种收购实质上对其他竞争者产生了影响。

2017 应用安全测试魔力象限

比如被 Synopsys 收购的 Cigital，和 IBM 在 DAST 服务方面一直就有合作关系，而在收购过后 IBM 的托管 DAST 服务就变得愈加不明朗。HPE 则与 Black Duck 有合作（IBM 和 Black Duck 也有合作），在 Synopsys 完成对 Black Duck 的收购之后，这种竞争对手关系，可能会对其产品间集成的未来造成影响。

实际在 2015 年的 AST 魔力象限中，Synopsys 还排在 Visionaries 象限，Cigital 则位于 Challengers 象限。2014 年的 AST 魔力象限中，Quotium 也位于 Visionaries 象限。这几位现在已经融为一体，表现在今年的魔力象限中已位列 Leaders 象限了。我们来看看今年 Gartner 是如何评价 Synopsys 的：

优势主要有 Seeker 继续成为采用率最高的 IAST 解决方案之一，覆盖范围较广；Cigital 的 3D 许可证为企业组织提供弹性选择，可为任意应用在三个 SAST 和 DAST 层级间进行产品选择；而 Codiscope 的 SecureAssist 则高度集成到了 IDE 中，为开发阶段早期提供了轻量级 SAST 工具（还记得前文提到的 training 吗？）。

缺陷则是，Synopsys 仍然是个不怎么知名的 AST 品牌，尤其是在北美以外的市场上，其收购对象普遍比 Synopsys 更有名（谁让人家是做 EDA 的呢…）；另外在消化被收购企业的产品中仍有待观察（毕竟这么短的时间就收购了这么多公司）；最后 Synopsys 不提供本地 DAST 产品或者自动化 DAST 产品。

这些其实在前文基本都已经探讨过了，所有的优势和劣势都与其快速收购行为分不开。不过我们认为，Synopsys 的收购和产品思路完全符合 AST 市场的发展轨迹。比如 Gartner 在报告中认为，为解决开发面临的诸多新问题，比如 DevOps 这类更快更具弹性的开发方式，还有开发和安全的进一步割裂，AST 市场的趋势应该包含这样几条：

1. 企业组织采用的解决方案，应该通过插入到 SDLC 之中（包括 IDE、build、库、QA 和试生产）来集成自动化功能。这不仅能帮助开发者在流程更早期修复问题，还能促进开发和安全间的协作；

2. 等待一次完整扫描就要几小时，这种方案对于每天多次修改代码的情况显然是不合适的。所以应用安全测试供应商开始采用新的方案。比如许多供应商提供“增量扫描”，也就是只扫描一部分新增或修改过的代码。还有一些供应商则给 IDE 继承了轻量级 SAST，在开发者写代码的时候进行实时反馈，很像拼写检查工具；

3. 解决方案需要提供软件构成分析（SCA）。SCA 即将成为 AST 解决方案的关键或者首要特性，因为开源和第三方组件在企业应用构建过程中越来越多。在 Gartner 的调查中，大约 40% 的受访者表示会采用商业现成的软件（off-the-shelf，也就是第三方组件）。行业内的提供商正倾向于引入自有的 SCA 解决方案，以及和专门的 SCA 提供商进行合作。

如果你仔细阅读了前文就不难发现，这几点其实恰巧是 Synopsys 近一年着力的方向，我们从下往上说。首先就是第三点 SCA，Synopsys 先后收购了三家公司（Codenomicon、Protecode 以及 Black Duck）都是为了强化自家的 SCA 技能，像 IBM 这样的 AST 供应商没有自己的 SCA 方案，而选择与合作伙伴合作。不妨来看一看 Synopsys 的 SCA 方案（就叫 Protecode）：在 Synopsys 的定义中，这是管理复杂软件供应链中风险的综合解决方案，可实现第三方软件的可视性，管理运营系统和软件的风险。[15]

其实企业组织从多个来源采用系统和软件，也就是第三方组件较为复杂的供应链，当代已经是很正常的事了，这主要是技术和速度驱动的。几乎所有的软件都包含第三方组件，包括免费开源软件、商业现成代码（COTS），还有内部开发组件。这些显然成为薄弱环节。Synopsys 的 SCA 是个二进制与运行时代码分析平台，可识别第三方和开源组件，已知漏洞、证书类型和其它潜在风险。而且因为分析的是二进制代码，而非源码，也就能应用于所有软件或系统，包括嵌入式系统固件。

从易用性角度来说，其 SCA 交互界面提供扫描软件的构成和健康状况呈现，包括每个第三方组件（版本号、位置、已知漏洞等）、漏洞评估（从 NIST NVD 获取每个漏洞的相关信息，包括了 CVE 编号和严重性）、开源证书报告。另外，其 SCA 解决方案，针对先前已扫描的软件能够接收最新发现漏洞的预警，且支持基于云的服务或者是本地设备。

再说上面的第二点，集成到 IDE 的轻量级 SAST，可为开发者提供实时反馈。前文就已经提到，Synopsys 提供的 SecureAssist 就是这么个东西。不过不知道为什么 Synopsys 将其放在“培训”环节中。

Coverity 静态分析界面

至于“增量扫描”，这也不是新鲜事物。在 Synopsys 的 Coverity（也就是其 SATA 静态分析）产品中，其关键特性包括对分析速度和弹性的加强[16]：

并行分析让 Synopsys 静态分析可以至多 16 核同时运行；

Fast Desktop Analysis 快速桌面分析通过仅分析修改过的，或者由于修改受到影响的代码，实现分析加速，而不是每次都对整个代码库进行分析；

Synopsys 静态分析可扩展至适应不同地理位置环境下数千开发者，并分析过亿行代码的项目。

当然 Coverity 静态分析并非仅强调速度差异，其宣传材料在反复强调其特有的技术，能够实现深度精确的分析；还有融入到 SDLC 中，也支持开发者导入第三方分析结果进入工作流，查看管理所有类型的缺陷；Coverity 策略管理则支持企业组织在开发团队之间，为代码安全，以及质量来定义和实施持续标准，实现团队、项目和组件是否符合标准的可视性，基于预定义的条件，来构建不同阶段；另外 Coverity Extend 是个 SDK，这是个可用于识别定制或特定缺陷的框架。

最后聊一聊 Gartner 提到的上述第一点，将解决方案植入到 SDLC 软件开发生命周期中，在开发的更早阶段就能处理安全问题。这其实是当代所有 AST 方案的一致努力方向，就像上面谈到的 Synopsys 静态分析一样。类似 Seeker 这样的 IAST 产品本身的着力点就是引入 SDLC 过程中。特别针对 web 应用的 Seeker 也是利用运行时代码和数据流关系，确认每个漏洞的可利用性和业务风险，并提供补救方案[17]。据说这款 IAST 工具可以提供所有修复漏洞的信息，包括风险的具体解释、技术细节、代码存在安全问题的位置和修改建议、基于上下文的修复建议、基于对数据风险和影响进行漏洞分级，甚至在应用中进行攻击的视频演示。而其重点仍然在于对 Agile 开发方式的支持，采用敏捷型解决方案来适应“最后一分钟”、频繁代码变化。

所以 Synopsys 这两年的收购行为基本代表了 AST 市场的发展方向。除此之外，Synopsys 的其他产品还包括了上面提到的模糊测试 Defensics（宣称有业界最为广泛的协议覆盖）、渗透测试（针对服务器端应用和 API）、DAST（这里的 DAST 指 Synopsys 基于云端的托管服务，提供基础和标准 DAST 模拟攻击方，也采用渗透测试）、MAST（移动应用安全测试）等。

应用安全测试的未来

目前北美地区 AST 市场是最为兴盛的，AST 服务的采用率最高；欧洲客户紧随其后，尤其国防和政府部门对 AST 方案采用率正在快速提升。亚太地区的 AST 市场还在成长中。[6]无论不同统计机构间对市场规模的预估数据差异有多大，一致意见都是增长迅猛。实际从 Synopsys 这样一家老牌的 EDA 厂商，这两年忽然着力 AST 也能看出端倪，且 Synopsys 企业本身的成熟发展，对其软件质量与安全平台业务的发展就有天然的推动作用，频繁的收购动作也显得相当稳准狠。

今年 7 月，Gartner 又出了一份报告，题为《Hype Cycle for Application Security, 2017》[18]。报告中提出了 ASTO（Application Security Testing Orchestration，应用安全测试组合）的概念，ASTO 将软件开发生命周期内的安全工具进行整合，尤其作为 DevSecOps 的组成部分。另外还有 AVC（Application Vulnerability Correlation，应用安全缺陷关联）工具，是指工作流与流程管理工具，让软件开发应用漏洞测试和修复实现流线化。这些工具将各种安全测试数据源（静态、动态应用安全测试、SCA 分析、渗透测试与代码审核）融入到一个中央化的工具中，AVC 工具能够将安全缺陷形成中心化数据，进行分析，对补救方案作优先级排序，实现应用安全活动的协作。

“安全数据源正在增加，数据的管理和转化越来越成为挑战。AVC 工具在一个应用组合中就提供更广范围安全问题的单一视图，单独的应用就能呈现风险。”

Synopsys 的软件质量与安全产品形成闭环在 ASTO 这个概念上是有优势的，但这家公司目前可能内部面临的一个问题即是对收购企业不同产品的消化和整合，尤其在拥有客户和数据基础的情况下，其软件质量与安全工具的组合都有客观基础，如 AVC 工具这个概念，实现多数据源的中心化工具可能会是未来 Synopsys 需要着力的方向。

WitAwards 2017「公众投票」通道现已开启

WitAwards年度互联网安全评选活动由国内信息安全新媒体领导者FreeBuf.COM主办。评选周期历时3个月，评委包括顶尖行业专家、行业媒体和安全从业者，颁奖盛典将在FreeBuf 互联网安全创新大会（FIT 2018）举办。「FIT 2018大会官网」

WitAwards 2017互联网安全年度评选，旨在发掘全年卓越的安全产品和杰出人物；给予在2017年为安全行业做出贡献的个人、团队及产品以掌声和肯定。

历时55天，近500项申报及提名，经WIT组委会严格审核，共预录取71席入围项目。FreeBuf现邀请每一位安全领域从业者、爱好者，共同选出安全领域Top Icon，一起见证年度安全盛誉的诞生，为数万名从业者和数百款安全产品的努力与创新喝彩！

WitAwards 2017公众投票入口：点击阅读原文进入

除此之外，我们还送上「对话WitAdwards 2017专家评委」系列人物专访：

* 本文作者：欧阳洋葱，未经许可禁止转载

参考来源

[1]Samsung and Synopsys Collaborate to Achieve First 14-nanometer FinFET Tapeout

[2]Synopsys Successfully Tapes Out Broad IP Portfolio for TSMC 7-nm FinFET Process

[3]Synopsys Posts Financial Results for Third Quarter Fiscal Year 2017

[4]Synopsys to Acquire Quotiums IAST Product Seeker

[5]Magic Quadrant for Application Security Testing

[6]Application Security Market (2017-2025) - Analysis By Solution, Services (Managed, Professional), Testing Type (SAST, DAST, IAST, RASP), Deployment (Cloud, On-premise), Organization Size & End-use - Research and Markets

[7]Application Security Testing Market - Global Industry Analysis, Size, Share, Growth, Trends, and Forecast 2017 - 2025，

[8]What Do SAST, DAST, IAST And RASP Mean To Developers?

[9]Cigital - Wikipedia

[10]Synopsys to Expand Software Security Signoff Solution with Acquisition of Cigital and Codiscope

[11]Synopsys - Wikipedia

[12]Synopsys to Acquire Software Security Company Codenomicon

[13]Synopsys Extends Software Integrity Platform with Acquisition of Open Source Software Management Company Protecode

[14]Synopsys to Enhance Software Integrity Platform with Acquisition of Black Duck Software，

[15]Synopsys Software Composition Analysis(Protecode)

[16]Synopsys Static Analysis Coverity®

[17]Synopsys Interactive Application Security Testing（Seeker）

[18]Hype Cycle for Application Security, 2017