Gartner has narrowed its focus to software supply chain security after determining that the broader application security testing (AST) market has grown too diverse for a single Magic Quadrant. The new evaluation centers on three mandatory functional components—software composition analysis (SCA), software bills of materials (SBOM), and threat intelligence—while numerous other capabilities (source-code manager and build tool integration, protection for third-party AI components, IDE extension analysis, pipeline security posture governance, SBOM lifecycle management) were optional.

Eighteen vendors were assessed across two axes. The “execution” axis measures responsiveness to demand (customer experience, pricing, product quality), while the “vision” axis reflects strategy (geographic, vertical, innovation). On execution, the top five were JFrog, Sonatype, Checkmarx, Black Duck, and Chainguard. On vision, Chainguard, JFrog, Black Duck, Checkmarx, and Apiiro led. Eight providers landed in the Leaders quadrant: Apiiro, Black Duck, Chainguard, Checkmarx, Cycode, JFrog, OX Security, and Sonatype.

Apiiro integrates SCA into a graph-based model that helps prioritize vulnerabilities by exploitability and impact. Its Guardian Agent brings detection and remediation across IDEs, CI/CD, and coding agents. Gartner also notes the platform’s adaptation of governance features for AI-assisted development. However, Apiiro is more complex to operationalize than competitors, especially when different teams own separate parts of the software lifecycle. Organizations with simple SDLC infrastructures or limited AI adoption may find the cost and effort hard to justify.

Black Duck receives praise for the quality of its security bulletins and its fit for regulated environments, with enforceable SBOMs, license compliance management, and vulnerability disclosure workflows. It covers non-cloud-native use cases (firmware, embedded systems, binary-only distribution) with a single SCA. The trade-offs: its governance-centric, highly structured workflows can alienate developer-led initiatives, onboarding requires significant effort, and exhaustive analysis lengthens scan times, increases data volumes, and complicates processes.

Chainguard delivers libraries and images (containers, VMs) that are secured by default, rebuilt from source. Gartner values this “upstream protection” and the fact that artifacts are consumable through standard formats. The downside is limited flexibility to consume arbitrary dependencies and a risk of vendor lock-in. Chainguard also has restricted inspection and remediation capabilities within IDEs.

Checkmarx deeply integrates into IDEs with AI-assisted remediation and centralizes governance across multiple security engines, normalizing signals and enforcing policies consistently. Contextual correlation of vulnerabilities with application code is another plus. On the caution side: Checkmarx’s subscription and usage pricing is above average. Granular policy control demands careful calibration to match risk tolerance. Onboarding can be heavy, as the solution primarily targets large enterprise use cases.

Cycode focuses on threats specific to AI components and agentic coding, having adapted its offering to recent attacks like Shai-Hulud with runtime pipeline protection. As a smaller player, it lacks certifications such as FedRAMP and has a limited dedicated headcount. Deploying its solution can be a lengthy process in environments with legacy or highly customized build setups, and alert volumes require attention.

JFrog stands out for its policy-as-code approach that automates collection and proof of compliance by attaching security attestations to packages, along with regional SLAs. High automation levels help maintain development workflow cadence, for instance during vendor substitution. Pricing is also above average, and JFrog tends to adjust public pricing and discounts annually, contrasting with the broader market dynamic. IDE support is limited to Visual Studio Code, and security controls for agentic skills have only recently moved beyond proof-of-concept.

OX Security offers OX VibeSec, which embeds directly into code generation workflows, and its pipeline security posture management features include a proprietary SBOM extension. Subscription costs are lower than most peers. Shortcomings: no FedRAMP certification, no binary analysis (an increasingly important differentiator complementing manifest-level SCA), and customer-reported reporting and alerting issues—limited history and lack of customization options.

Sonatype is distinguished by its unified toolset and a remediation approach combining deterministic rules and GenAI. An interactive guide gives developers feedback on security, quality, and license compliance. Support is also rated well. However, Sonatype also lacks FedRAMP, and a shift toward usage-based pricing can cause confusion. Missing features include pipeline security posture management, developer workspace security, and secrets detection.

Se limiter à une vingtaine de fournisseurs ne convient plus pour analyser le marché de l’AST (tests de sécurité applicative).

Gartner en a jugé ainsi. Il considère que ce marché s’est trop étendu pour entrer dans la grille d’analyse de son Magic Quadrant, qui impose la limite en question. Il a donc « zoomé » sur un sous-segment : la sécurité de la chaîne d’approvisionnement logicielle.

Son évaluation s’est centrée sur trois composants fonctionnels : SCA, SBOM et threat intelligence. De nombreuses briques n’étaient pas obligatoires pour figurer dans ce Magic Quadrant. Entre autres :

Intégration dans les gestionnaires de code source et les outils de build

Protection contreles composants IA tiers (LLM et serveurs MCP)

Analyse des extensions dans les IDE

Gouvernance de la posture de sécurité des pipelines de livraison

Gestion du cycle de vie des SBOM

18 fournisseurs, 8 « leaders »

Deux axes déterminent le positionnement des fournisseurs. L’un, dit « exécution », traduit la capacité de réponse à la demande (expérience client, tarification, qualité des produits/services…). L’autre, dit « vision », reflète les stratégies (géographique, sectorielle, innovation…).

La situation sur l’axe « exécution » :

Rang

Fournisseur

1

JFrog

2

Sonatype

3

Checkmarx

4

Black Duck

5

Chainguard

6

Cycode

7

Apiiro

8

OX Security

9

ReversingLabs

10

Endor Labs

11

GitHub

12

Lineaje

13

RapidFort

14

Mend.io

15

Arnica

16

FOSSA

17

ActiveState

18

Veracode

Sur l’axe « vision » :

Rang

Fournisseur

1

Chainguard

2

JFrog

3

Black Duck

4

Checkmarx

5

Apiiro

6

OX Security

7

Endor Labs

8

Cycode

9

ReversingLabs

10

Lineaje

11

Sonatype

12

Mend.io

13

RapidFort

14

GitHub

15

Arnica

16

ActiveState

17

Veracode

18

FOSSA

Sur les 18 fournisseurs classés, 8 se trouvent dans le carré des « leaders » : Apiiro, Black Duck, Chainguard, Checkmarx, Cycode, JFrog, OX Security et Sonatype.

Apiiro, pas simple à prendre en main

Chez Apiiro, Gartner apprécie l’intégration du SCA dans un modèle à base de graphes, qui aide à prioriser les vulnérabilités sur la base de leur exploitabilité et de leur impact. Bon point également pour ce que la brique Guardian Agent apporte en matière de détection et de remédiation à travers IDE, CI/CD et agents de codage. Apiiro est plus globalement parvenu à adapter ses fonctions de gouvernance au développement assisté par IA.

Par rapport aux solutions concurrentes, la plate-forme d’Apiiro est plus complexe à prendre en main. Surtout lorsque la responsabilité sur les diverses parties du cycle de développement logiciel échoit à différentes équipes. Attention aussi pour qui a des infrastructures SDLC simples ou une adoption limitée de l’IA : le coût de la solution et l’effort pourraient ne pas se justifier.

Axé gouvernance, Black Duck risque de s’aliéner les développeurs

Gartner note la qualité des bulletins de sécurité de Black Duck. Il souligne aussi son positionnement sur les environnements régulés, entre SBOM opposables, gestion de conformité des licences et workflows de divulgation de vulnérabilités. Ainsi que sa capacité à couvrir des cas d’usage au-delà du cloud-native (firmwares, systèmes embarqués, logiciels distribués uniquement sous forme de binaires…) avec un même SCA.

Centrés sur la gouvernance et par là même très structurés, les workflows de Black Duck sont susceptibles de ne pas convenir à qui souhaite donner la main à des développeurs. Attention aussi à l’effort d’onboarding. Et à ce que l’exhaustivité des analyses implique en matière de durée des scans, de volume de données et de complexité des processus.

Chez Chainguard, un risque de verrouillage

L’approche de Chainguard consiste à livrer des bibliothèques et des images (conteneurs, VM) sécurisées par défaut, reconstruites à partir des sources. Gartner apprécie cette forme de « protection en amont », d’autant plus que les artefacts produits peuvent être consommés via des formats standards.

Revers de la médaille : ce modèle procure peu de flexibilité pour consommer des dépendances arbitraires et soulève un risque de verrouillage. Par ailleurs, Chainguard est limité dans ses capacités d’inspection et de remédiation au sein des IDE.

Checkmarx, à calibrer avec précaution

Au contraire de Chainguard, Checkmarx s’intègre profondément dans les IDE, avec de la remédiation assistée par IA. Il a centralisé la gouvernance de plusieurs moteurs de sécurité, favorisant la normalisation des signaux et l’application cohérente des politiques. Gartner apprécie aussi les capacités de corrélation des vulnérabilités avec le contexte du code applicatif.

À l’abonnement comme à l’usage, la tarification de Checkmarx est plus élevée que la moyenne sur ce segment. La granularité du contrôle des politiques suppose une calibration précautionneuse pour s’aligner sur le niveau de risque toléré. Vigilance aussi sur l’onboarding, d’autant plus que Checkmarx cible avant tout les cas d’usage des grandes entreprises.

Avec Cycode, une mise en action potentiellement longue

Cycode se distingue par son focus sur les menaces spécifiques aux briques IA et au codage agentique. Gartner note qu’il a adapté son offre aux récentes attaques telle Shai-Hulud, en proposant notamment une protection des pipelines à l’exécution.

Tant en termes de clientèle que de présence et d’effectif dédié, Cycode est un « petit » acteur sur ce segment. Il lui manque aussi des certifications comme FedRAMP. De plus, la mise en action de sa solution peut se révéler longue chez qui a des environnements de build hérités ou hautement personnalisés. Attention aussi aux volumes d’alertes.

JFrog, plus cher que la moyenne

Gartner apprécie l’approche policy-as-code de JFrog, qui automatise la collecte et la preuve de conformité en attachant des attestation de sécurité aux paquets logiciels. Ses SLA régionaux sont un autre point fort. Comme, plus globalement, le niveau d’automatisation (sur la substitution de vendeurs, par exemple), qui favorise le maintien de la cadence des workflows de développement.

Sur le pricing, même remarque que pour Checkmarx : plus élevé que la moyenne. Cela s’accompagne d’une tendance à modifier chaque année la tarification publique et les remises… en contraste avec la dynamique générale du marché. Gartner y ajoute une prise en charge IDE limitée aux environnements Visual Studio Code. Et souligne que les contrôles de sécurité pour les skills agentiques ne sont que récemment sortis de PoC.

Chez OX Security, des problèmes avec le reporting

Gartner salue la brique OX VibeSec, qui s’intègre directement dans les workflows de génération de code. Il apprécie aussi les capacités en matière de gestion de la posture de sécurité des pipelines, avec notamment une extension propriétaire du SBOM. Autre bon point : l’abonnement est moins cher que chez la plupart des autres fournisseurs classés dans ce Magic Quadrant.

OX Security n’a pas de certification FedRAMP. Ni d’analyse de binaires (fonctionnalité qui devient un élément de différenciation important, en complément au SCA niveau manifestes). Des clients ont signalé des problèmes avec le reporting et les alertes. En particulier, des historiques limités et un manque d’options de personnalisation.

Des manques fonctionnels chez Sonatype

Sonatype se distingue par le niveau d’unification de ses outils et son approche de remédiation associant règles déterministes et GenAI. Il a aussi pour lui sa brique interactive Guide, qui fournit aux développeurs un retour sur la sécurité, la qualité et la conformité des licences. Bon point également pour le support.

Pas de FedRAMP non plus pour Sonatype, et une transition vers du pricing à l’usage qui peut entraîner de la confusion. Il lui manque par ailleurs des fonctionnalités telles que la gestion de posture de sécurité des pipelines, la sécurisation des workspaces développeurs et la détection des secrets.

Illustration © Molodec – Shutterstock.com

The post Sécurité de la supply chain logicielle : des outils complexes à mettre en action appeared first on Silicon.fr.