Analyse des Marktes für die Sicherheit der Software-Lieferkette: GigaOm Radar Bericht

Analyse des Marktes für die Sicherheit der Software-Lieferkette: GigaOm Radar Bericht 2025

Im Oktober 2025 veröffentlichte das Analyseunternehmen GigaOm den aktualisierten Radar-Bericht für das Segment Software Supply Chain Security (SSCS). Die Studie unterstreicht, dass vor dem Hintergrund komplexer Angriffe im Jahr 2025, wie etwa der Einschleusung von Backdoors in die XZ Utils-Bibliothek, Lösungen zum Schutz der Lieferkette für die Cybersicherheitsstrategie jedes Unternehmens von entscheidender Bedeutung geworden sind.

Analysemethodik und Bewertungskriterien

Der Bericht basiert auf der Bewertung von 25 führenden Lösungen anhand einer Reihe von technischen und geschäftlichen Parametern. GigaOm verwendet eine Matrix, die Anbieter nach den Achsen „Reife (Maturity) versus Innovation (Innovation)“ und „Nischenlösung (Feature Play) versus Plattform (Platform Play)“ unterteilt.

Kriterien für die Funktionsbewertung

Für die Erstellung des Rankings verwendeten die Analysten drei Ebenen von Merkmalen:

• Obligatorische Funktionen (Table Stakes): Funktionen, über die alle Berichtsteilnehmer verfügen, einschließlich Software Composition Analysis (SCA), SBOM-Generierung, CI/CD-Integration und Richtlinienmanagement.
• Schlüsselmerkmale (Key Features): Parameter, die Lösungen differenzieren, wie IaC- und Container-Scanning, Code-Risiko-Scoring, automatisiertes Testen (SAST, DAST, IAST) und Open-Source-Management.
• Zukunftstechnologien (Emerging Features): Funktionen, die den Markt in den nächsten 12–18 Monaten bestimmen werden, insbesondere KI-gesteuerte Fehlerbehebung (AI-driven remediation), Software-Expositionsanalyse und Artefaktintegrität.

Geschäftskriterien

Zusätzlich zu den technischen Features wurden Skalierbarkeit für das Enterprise-Segment, Flexibilität bei der Bereitstellung, Preistransparenz und die Reife des Integrations-Ökosystems berücksichtigt.

Detaillierter Überblick über die Anbieter im Softprom-Portfolio

Die von Softprom vertretenen Anbieter nehmen stabil Positionen in den Quadranten der Marktführer und Herausforderer ein und konzentrieren sich auf die Schaffung umfassender Plattformen.

Veracode: Plattform für Anwendungsrisikomanagement

Veracode wird als Leader und Fast Mover im Quadranten Maturity/Platform Play positioniert.

Stärken:

• Die Plattform bietet das volle Spektrum an Tests: SAST, DAST und IAST, was die Identifizierung von Schwachstellen in frühen Phasen und in Echtzeit ermöglicht.
• Die Lösung umfasst fortschrittliche Tools für das Risikoscoring, Cross-Risk-Analysen und auditierte Workflows zur Bedrohungsbehebung.
• Veracode Container Security integriert mehrere Scanner zur Erkennung von Geheimnissen und Konfigurationsfehlern.
• Im Januar 2025 erwarb das Unternehmen Phylum, um den Schutz vor bösartigem Code in Open-Source-Bibliotheken zu verstärken.

Besonderheiten: Die Lösung wird ausschließlich als SaaS-Modell bereitgestellt, was eine schnelle Skalierung für große Unternehmen ermöglicht.

GitLab: GitLab Ultimate

GitLab wird als Challenger und Outperformer im Quadranten Maturity/Platform Play eingestuft.

Stärken:

• Bietet eine einheitliche Plattform für den gesamten DevSecOps-Zyklus, was die Integrität von Entwicklungs- und Sicherheitsprozessen gewährleistet.
• Der Outperformer-Status wurde durch die tiefe Integration von KI-Funktionen (GitLab Duo) erreicht, einschließlich automatischer Testgenerierung, Erklärung von Schwachstellen und Ursachenanalyse.
• Leistungsstarkes Abhängigkeitsmanagement mit Automatisierung von Updates und detaillierten Berichten.

Besonderheiten: Die Verfügbarkeit verschiedener Bereitstellungsmodelle (SaaS, Self-managed, Dedicated) ermöglicht es, die Bedürfnisse von Unternehmen mit strengen Anforderungen an die Datentrennung zu erfüllen.

Fazit der Analysten

Der SSCS-Markt in den Jahren 2025–2026 ist durch den Übergang von einzelnen Scannern zu Posture-driven Plattformen gekennzeichnet. Die Anbieter Veracode und GitLab entsprechen dem Haupttrend – der Integration von Sicherheit direkt in die Entwicklungswerkzeuge, was den Schutz in jeder Phase des SDLC gewährleistet.