Анализ рынка безопасности цепочек поставок ПО: Отчет GigaOm Radar

Анализ рынка безопасности цепочек поставок ПО: Отчет GigaOm Radar

В октябре 2025 года аналитическая компания GigaOm выпустила обновленный отчет Radar для сегмента Software Supply Chain Security (SSCS). Исследование подчеркивает, что на фоне сложных атак 2025 года, таких как внедрение бэкдоров в библиотеку XZ Utils, решения для защиты цепочек поставок стали критически важными для стратегии кибербезопасности любой организации.

Методология анализа и критерии оценки

Отчет базируется на оценке 25 ведущих решений по ряду технических и бизнес-параметров. GigaOm использует матрицу, разделяющую вендоров по осям: «Зрелость (Maturity) против Инноваций (Innovation)» и «Нишевое решение (Feature Play) против Платформы (Platform Play)».

Критерии оценки функциональности

Для формирования рейтинга аналитики использовали три уровня характеристик:

• Обязательные функции (Table Stakes): возможности, которыми обладают все участники отчета, включая анализ состава ПО (SCA), генерацию SBOM, интеграцию с CI/CD и управление политиками.
• Ключевые характеристики (Key Features): параметры, дифференцирующие решения, такие как сканирование IaC и контейнеров, скоринг рисков кода, автоматизированное тестирование (SAST, DAST, IAST) и управление открытым кодом.
• Перспективные технологии (Emerging Features): функции, которые будут определять рынок в ближайшие 12-18 месяцев, в частности AI-управляемое исправление (AI-driven remediation), анализ экспозиции ПО и целостность артефактов.

Бизнес-критерии

Помимо технических фич, учитывались масштабируемость для Enterprise-сегмента, гибкость развертывания, прозрачность ценообразования и развитость экосистемы интеграций.

Детальный обзор вендоров портфеля Софтпром

Вендоры, представленные компанией Софтпром, стабильно занимают позиции в квадрантах лидеров и претендентов, фокусируясь на создании комплексных платформ.

Veracode: Платформа управления рисками приложений

Veracode позиционируется как Leader и Fast Mover в квадранте Maturity/Platform Play.

Сильные стороны:

• Платформа обеспечивает полный спектр тестирования: SAST, DAST и IAST, что позволяет выявлять уязвимости на ранних этапах и в реальном времени.
• Решение включает передовые инструменты скоринга рисков, аналитику кросс-рисков и аудируемые рабочие процессы устранения угроз.
• Veracode Container Security интегрирует несколько сканеров для обнаружения секретов и ошибок конфигурации.
• В январе 2025 года компания приобрела Phylum для усиления защиты от вредоносного кода в открытых библиотеках.

Особенности: Решение предоставляется исключительно по модели SaaS, что обеспечивает быстрое масштабирование для крупных предприятий.

Fortinet: Lacework FortiCNAPP

Fortinet занимает позицию Leader и Fast Mover в квадранте Maturity/Platform Play.

Сильные стороны:

• После приобретения Lacework в августе 2024 года, Fortinet создал решение, объединяющее защиту облачных сред (CNAPP) и безопасность кода.
• Высокие показатели в сканировании IaC (Infrastructure as Code) для обнаружения мисконфигураций до развертывания.
• Использование машинного обучения для обнаружения аномалий и анализа путей атак.
• Контекстный подход к скорингу рисков, учитывающий данные об угрозах и бизнес-влияние.

Особенности: Платформа лучше всего подходит для среднего и крупного бизнеса, нуждающегося в консолидированной защите облачных приложений.

GitLab: GitLab Ultimate

GitLab определен как Challenger и Outperformer в квадранте Maturity/Platform Play.

Сильные стороны:

• Предлагает единую платформу для всего цикла DevSecOps, что обеспечивает целостность процессов разработки и безопасности.
• Статус Outperformer получен благодаря глубокой интеграции AI-возможностей (GitLab Duo), включая автоматическую генерацию тестов, объяснение уязвимостей и анализ первопричин.
• Мощное управление зависимостями с автоматизацией обновлений и детальными отчетами.

Особенности: Наличие различных моделей развертывания (SaaS, Self-managed, Dedicated) позволяет удовлетворять потребности компаний со строгими требованиями к изоляции данных.

Выводы аналитиков

Рынок SSCS в 2025–2026 годах характеризуется переходом от отдельных сканеров к Posture-driven платформам. Вендоры Veracode, Fortinet и GitLab соответствуют главному тренду — интеграции безопасности непосредственно в инструменты разработки, что обеспечивает защиту на каждом этапе SDLC.