Аналіз ринку безпеки ланцюжків постачання ПЗ: Звіт GigaOm Radar

У жовтні 2025 року аналітична компанія GigaOm випустила оновлений звіт Radar для сегмента Software Supply Chain Security (SSCS). Дослідження підкреслює, що на фоні складних атак 2025 року, таких як впровадження бекдорів у бібліотеку XZ Utils, рішення для захисту ланцюжків постачання стали критично важливими для стратегії кібербезпеки будь-якої організації.

Методологія аналізу та критерії оцінки

Звіт базується на оцінці 25 провідних рішень за низкою технічних та бізнес-параметрів. GigaOm використовує матрицю, що розділяє вендорів за осями: "Зрілість (Maturity) проти Інновацій (Innovation)" та "Нішеве рішення (Feature Play) проти Платформи (Platform Play)".

Критерії оцінки функціональності

Для формування рейтингу аналітики використовували три рівні характеристик:

• Обов'язкові функції (Table Stakes): можливості, якими володіють усі учасники звіту, включаючи аналіз складу ПЗ (SCA), генерацію SBOM, інтеграцію з CI/CD та управління політиками.
• Ключові характеристики (Key Features): параметри, що диференціюють рішення, такі як сканування IaC та контейнерів, скоринг ризиків коду, автоматизоване тестування (SAST, DAST, IAST) та управління відкритим кодом.
• Перспективні технології (Emerging Features): функції, що визначатимуть ринок у найближчі 12-18 місяців, зокрема AI-кероване виправлення (AI-driven remediation), аналіз експозиції ПЗ та цілісність артефактів.

Бізнес-критерії

Окрім технічних фіч, враховувалися масштабованість для Enterprise-сегмента, гнучкість розгортання, прозорість ціноутворення та розвиненість екосистеми інтеграцій.

Детальний огляд вендорів портфеля Софтпром

Вендори, представлені компанією Софтпром, стабільно займають позиції у квадрантах лідерів та претендентів, фокусуючись на створенні комплексних платформ.

Veracode: Платформа управління ризиками додатків

Veracode позиціонується як Leader та Fast Mover у квадранті Maturity/Platform Play.

Сильні сторони:

• Платформа забезпечує повний спектр тестування: SAST, DAST та IAST, що дозволяє виявляти вразливості на ранніх етапах та в реальному часі.
• Рішення включає передові інструменти скорингу ризиків, аналітику крос-ризиків та аудійовані робочі процеси усунення загроз.
• Veracode Container Security інтегрує декілька сканерів для виявлення секретів та помилок конфігурації.
• У січні 2025 року компанія придбала Phylum для посилення захисту від шкідливого коду у відкритих бібліотеках.

Особливості: Рішення надається виключно за моделлю SaaS, що забезпечує швидке масштабування для великих підприємств.

GitLab: GitLab Ultimate

GitLab визначений як Challenger та Outperformer у квадранті Maturity/Platform Play.

Сильні сторони:

• Пропонує єдину платформу для всього циклу DevSecOps, що забезпечує цілісність процесів розробки та безпеки.
• Статус Outperformer отримано завдяки глибокій інтеграції AI-можливостей (GitLab Duo), включаючи автоматичну генерацію тестів, пояснення вразливостей та аналіз першопричин.
• Потужне управління залежностями з автоматизацією оновлень та детальними звітами.

Особливості: Наявність різних моделей розгортання (SaaS, Self-managed, Dedicated) дозволяє задовольняти потреби компаній із суворими вимогами до ізоляції даних.

Висновки аналітиків

Ринок SSCS у 2025–2026 роках характеризується переходом від окремих сканерів до Posture-driven платформ. Вендори Veracode та GitLab відповідають головному тренду — інтеграції безпеки безпосередньо в інструменти розробки, що забезпечує захист на кожному етапі SDLC.