클라우드로의 전환과 현대화된 애플리케이션 설계 및 DevSecOps 채택이 가속화되면서 애플리케이션 보안 테스팅 분야는 점차 빠르게 확장하고 있습니다. 가트너는 애플리케이션 보안 취약성을 분석하고 테스트하는 애플리케이션 보안 테스트(AST) 시장을 매우 역동적으로 변화하며 급속한 발전을 경험하고 있다고 합니다. 이러한 앱섹 테스팅 분야에서 10년 연속 마켓 리더로 선정되고 있는 Open Text – Fortify와 그 선정 의미등에 대해 알아봅니다.
(1) Gartner® Magic Quadrant™의 평가 항목
가트너는 애플리케이션 보안 테스트(AST) 시장을 엔드유저의 요구 사항을 반영하는 변형된 기술 또는 접근 방식에 초점을 맞추고 있습니다. 즉 계속된 새로운 요구 사항을 해결하는 AST 기술과 접근 방식에 집중되어 있다고 볼 수 있습니다. 대체로 이 시장은 다음의 핵심 테스트 기능을 제공하고 있습니다.
예: 정적/ 동적 및 대화형 테스트, 소프트웨어 구성 분석 (SCA), 다양한 선택적 기능
AST도구는 SaaS 기반 구독 제품으로 제공되거나 온프레미스 소프트웨어로도 제공됩니다. 많은 공급업체가 두 가지 옵션을 모두 제공합니다. 핵심 기능은 기본 테스트 기능을 제공하며 대부분의 조직에서는 아래의 내용을 포함하는 유형을 사용합니다.
SAST : 일반적으로 소프트웨어 개발 수명 주기 (SDLC)의 프로그래밍 또는 테스트 단계에서 애플리케이션의 소스, 바이트 코드 또는 바이너리 코드의 보안 취약점을 분석합니다.
SCA (Software Composition Analysis) : 애플리케이션에서 사용 중인 오픈소스 및 덜 자주 사용되는 상용 구성 요소를 식별하는 데 사용됩니다. 이를 통해 알려진 보안 취약성, 잠재적 라이선스 문제 및 운영 위협을 식별할 수 있습니다.
선택적 기능은 보다 전문화된 형태의 테스트를 제공하며 일반적으로 조직의 애플리케이션 포트폴리오 또는 애플리케이션 보안 프로그램 성숙도를 기반으로 핵심 기능을 보완합니다. 다음의 내용들이 포함됩니다.
- API testing
- ASPM (Application Security Posture Management)
- Container Security
- Developer enablement
- Fuzzing
- Infrastructure-as-code (IaC) testing
- IAST (Interactive AST)
- Mobile AST (MAST)
- Software supply chain security (SSCS)
그중에서도 동적 AST(DAST): DAST는 테스트 및 운영 단계에서 실행(즉, 동적) 상태의 애플리케이션을 분석합니다. DAST는 애플리케이션(일반적으로 웹 지원 애플리케이션이지만 애플리케이션 프로그래밍 인터페이스[API]도 점차 증가하고 있음)에 대한 공격을 시뮬레이션하고 애플리케이션의 반응을 분석하고 취약한지 여부를 결정합니다.
(2) 벤더로서 OpenText- Fortify의 강점
OpenText는 이 Magic Quadrant의 리더입니다. Fortify 제품은 이 Magic Quadrant에서 평가되는 기능 범주에 있으며 회사는 정적 및 동적 분석 도구로 잘 알려져 있습니다. 부분적으로는 OEM과 파트너십을 통해 SCA 및 개발자 지원 기능을 제공합니다.
캐나다에 본사를 두고 있는 OpenText는 전 세계 Fortify 전용 판매 및 지원을 제공하는 글로벌 기업입니다. 대형 은행 및 금융 서비스, IT 서비스 제공업체 및 정부 부처등이 주요 고객사입니다.
OpenText는 2023년 1월에 Micro Focus를 인수했습니다. 지난 12개월 동안 회사는 전체 포트폴리오에서 상당한 개선을 이루었습니다. 특히 OpenText는 SCA, 공급망 보안 및 ML 사용에 투자했습니다.
강점
- SCA 및 SSCS 투자: Fortify는 Debricked 인수 및 Sonatype과의 오랜 OEM 관계 확장을 통해 SCA 및 공급망 보안 부문에서 상당한 진전을 이루었습니다. 주목할만한 예는 선택이나 사용 전에 오픈 소스 소프트웨어와 관련된 위험에 대해 쉽게 이해할 수 있는 지침을 제공하는 Open Source Select의 도입입니다.
- 기계 학습: OpenText는 ML (Machine learning) 기술을 사용하여 새로운 기능을 제공하고 기존 기능을 개선했습니다. Open Source Select 오퍼링은 부분적으로 ML에 의해 구동됩니다. Fortify는 또한 OpenText의 분석 기능을 활용하여 테스트 결과 중 잘못된 긍정 탐지를 크게 개선하여 제품에 대한 오랜 불만 사항을 해결했습니다.
- 유연한 배포: 회사의 제품 포트폴리오 범위는 업계에서 가장 광범위하며 여러 배포 옵션으로 지원됩니다. 여기에는 전통적인 온프레미스 패키지, SaaS 제품 및 사설 클라우드 및 관리형 서비스 설치 옵션이 포함됩니다.
(3) 10년 연속 리더 선정의 의미
“Fortify는 Gartner, Forrester, IDC 및 G2에서 마켓 리더로 인정받은 유일한 AppSec 솔루션입니다.”
OpenText의 CPO이자 부사장인 Munhi Majzoub는 OpenText가 Gartner Magic Quadrant에서 10년 연속 리더로 선정된 것에 대한 의미를 이렇게 해석하고 있습니다. 20년 이상의 혁신을 통해 Fortify (by OpenText)는 상용 애플리케이션 보안 테스팅 영역에서 탁월한 보안 및 가시성을 제공하며 Gartner Magic Quadrant에서 10년 연속이라는 긴 시간 동안 리더로 인정받았습니다. 조직이 애플리케이션을 개발하고 배포하는 방식이 빠르게 변화함에 따라 애플리케이션 보안은 개발 프로세스에서 중요한 부분이 되었습니다. 최근 몇 년 동안 소스 코드와 실행 중인 앱, 오픈소스 코드, API, 컨테이너, 코드형 인프라등 취약점 해결 방안에 대한 빠른 이해가 필요했습니다. 가트너의 AST 분야 리더로 지속해서 인증받는 것은 제품의 강점과 변화하는 시장 요구에 대한 발 빠른 대처가 있었기에 가능했습니다.
출처)
https://www.gartner.com/doc/reprints?id=1-2DH121ZD&ct=230503&st=sb
https://securitybrief.com.au/story/opentext-is-an-application-security-testing-leader-gartner
https://ai-techpark.com/opentext-leads-in-gartner-magic-quadrant-review-for-ast-for-10th-year/
