Google has rejoined Gartner’s Magic Quadrant for DevSecOps platforms, but only as a niche player. This fourth edition of the report is the first to add “Sec” to its title, making security capabilities like code analysis, threat modeling, and API protection mandatory evaluation criteria. Google had appeared in the inaugural 2023 edition, then vanished because its offering didn’t qualify as a platform. Gartner now believes it does—though it remains a “collection of tools” not purpose-built for DevSecOps, combined without an overarching product strategy. The listed components include Cloud Build, Cloud Deploy, Artifact Registry, and several Gemini assistants, among other cloud services.

The Magic Quadrant covers 13 vendors. Four leaders from last year—Atlassian, GitLab, Harness, and Microsoft—hold their positions. New entrants IBM and HCLSoftware land in the Visionaries quadrant (strong vision but lower execution), while OpenText joins the Niche Players alongside Buildkite, CircleCI, CloudBees, JetBrains, Octopus, and Google. The ranking tables underscore the shifts: on execution, the top five are Atlassian, Harness, GitLab, Microsoft, and HCLSoftware; on vision, Harness leads, followed by Microsoft, GitLab, Atlassian, and IBM.

Atlassian draws praise for its SaaS SLAs, security posture, data residency options, unified platform, and embedded AI. But it lacks a single commercial SKU for most customers, offers fewer native security components than other leaders, and has no viable on-premises option after announcing the 2029 retirement of its Data Center line (except Align and Bitbucket).

GitLab delivers full feature parity between its SaaS and self-managed editions, including AI, and its SLAs now match or exceed competitors. It provides nearly all expected DevSecOps capabilities natively. However, its influence is largely confined to software engineering roles rather than the entire SDLC, its indirect business lags in Asia-Pacific, and a recent AI-focused restructuring has stirred internal discontent.

Harness integrates open-source tools and acquisitions smoothly, with strong value in security, MLOps, and agentic AI, plus a modular sales model. Yet partner services vary by region, its SLAs trail the competition on availability and response times, and its marketing fails to reach C-suite decision-makers.

Microsoft’s GitHub platform boasts a vast ecosystem, rich functionality, and pervasive AI. But the heavy AI emphasis slows core platform innovation, the transition from seat-based to usage-based billing complicates cost control, and the coexistence of Azure DevOps forces organizations to untangle overlap with GitHub.

The expanded criteria reflect the industry’s push to weave security deeply into DevOps, but the varied vendor approaches show that what constitutes a true DevSecOps “platform” is still open to interpretation.

Google a-t-il une offre qualifiable de « plate-forme DevSecOps » ?

Gartner considère que oui. Il l’a d’ailleurs classé dans le Magic Quadrant consacré à ce segment de marché. C’en est la quatrième édition… mais la première à intégrer la composante sécurité dans son intitulé – auparavant, le cabinet américain s’en tenait au DevOps – et dans la liste des critères obligatoires. Il fallait, en l’occurrence, pouvoir orchestrer des fonctionnalités telles que l’analyse de code, la modélisation des menaces et la protection des API.

Google avait figuré dans la première édition (2023). Il avait ensuite disparu des tablettes, faute de proposer une offre relevant de la plate-forme. Gartner estime que les choses ont changé. Pas radicalement, néanmoins : on est plutôt sur une « collection d’outils »* pas spécifiquement conçus pour le DevSecOps et combinés sans stratégie produit globale.

Dans ce contexte, Google se positionne parmi les « acteurs de niche ». Il côtoie, dans cette zone du Magic Quadrant, Buildkite, CircleCI, CloudBees, JetBrains et Octopus, qui y étaient déjà tous l’an dernier. Ainsi qu’OpenText, qui fait quant à lui partie des nouveaux entrants. Comme IBM et HCLSoftware, classés pour leur part chez les « visionnaires ».

Plates-forme DevSecOps : 13 fournisseurs, 4 « leaders »

Selon la terminologie du Magic Quadrant, sont « visionnaires » les fournisseurs qui se trouvent dans la partie basse sur l’axe dit « exécution »… et dans la partie haute sur celui dit « vision ». Le premier traduit la capacité à répondre à la demande (expérience client, tarification, qualité des produits/services…). Le second reflète les stratégies (ventes, innovation, déploiement sectoriel et géographique…). Les offreurs au positionnement inverse sont dits « challengers ». Ceux suffisamment bien placés sur les deux axes sont « leaders ». À l’opposé, il y a les « acteurs de niche ».

La situation sur l’axe « exécution » :

Rang

Fournisseur

Évolution annuelle

1

Atlassian

=

2

Harness

=

3

GitLab

=

4

Microsoft

=

5

HCLSoftware

nouvel entrant

6

Buildkite

+ 1

7

CloudBees

+ 1

8

IBM

nouvel entrant

9

Octopus

– 3

10

Google

nouvel entrant

11

JetBrains

– 2

12

CircleCI

-2

13

OpenText

nouvel entrant

Sur l’axe « vision » :

Rang

Fournisseur

Évolution annuelle

1

Harness

+ 1

2

Microsoft

+ 3

3

GitLab

=

4

Atlassian

– 3

5

IBM

nouvel entrant

6

HCLSoftware

nouvel entrant

7

CloudBees

=

8

Google

nouvel entrant

9

OpenText

nouvel entrant

10

Buildkite

– 4

11

JetBrains

– 1

12

CircleCI

– 4

13

Octopus

– 4

Les quatre « leaders » de l’an dernier le restent :

Atlassian (progresse en exécution, recule en vision)

GitLab (progresse en exécution, stable en vision)

Harness (progresse sur les deux axes)

Microsoft (progresse sur les deux axes)

Atlassian a acté la fin de l’option on-prem

Gartner apprécie les SLA et le niveau de sécurité de l’offre SaaS d’Atlassian, ainsi que les options de résidence des données. Il salue le niveau d’unification de la plate-forme, tout comme la diffusion de l’IA en son sein et sa capacité à répondre aux besoins des différentes parties prenantes du SDLC.

Quoique techniquement unifiée, la plate-forme ne l’est pas sur le plan commercial – pas de SKU unique – sauf pour les plus gros clients. Atlassian propose par ailleurs moins de briques de sécurité natives que les autres « leaders ». Il est aussi le seul à ne pas avoir d’option viable pour qui a besoin d’une solution sur site, affirme Gartner. En toile de fond, l’annonce, l’an dernier, de la fin de la gamme Datacenter pour 2029, sauf Align et Bitbucket.

Chez GitLab, une restructuration qui laisse des traces

Chez GitLab, SaaS et on-prem sont à parité fonctionnelle, y compris pour les composantes IA. Ses SLA ont été renforcés, égalant voire dépassant ceux de la concurrence. Il propose globalement, en natif, la plupart des capacités qu’on peut attendre d’une plate-forme DevSecOps, d’après Gartner.

Au contraire d’Atlassian, GitLab manque d’une empreinte d’ensemble sur le SDLC, au-delà des métiers de l’ingénierie logicielle. Son business indirect délivre des résultats limités sur la plaque Asie-Pacifique et la restructuration récemment engagée au nom de l’IA ne suscite pas l’adhésion de tous ses employés.

Harness, pas au niveau de la concurrence sur les SLA

Harness parvient à intégrer efficacement les solutions open source, mais aussi les entreprises qu’il acquiert. Gartner salue sa proposition de valeur sur la sécurité, le MLOps et l’IA agentique. Il apprécie aussi l’approche de vente modulaire de la plate-forme.

En fonctions des géographiques, les services et le support que fournissent les partenaires s’avère inégal. Les SLA n’atteignent pas ceux de la concurrence, que ce soit sur la disponibilité ou le temps de réponse. Le marketing de Harness demeure par ailleurs assez éloigné de la population des cadres dirigeants (C-suite).

Sur GitHub, Microsoft priorise l’IA au cœur fonctionnel

Au-delà de sa présence mondiale (ventes, support, R&D, datacenters…) et plus généralement de la viabilité de son activité, Microsoft a su constituer un vaste écosystème autour de son offre. Gartner la juge fonctionnellement riche, tout en notant les passerelles établies avec d’autres solutions DevSecOps. Il salue aussi la manière dont l’IA s’y diffuse.

Ce focus sur l’IA a tendance à ralentir la cadence d’innovation sur le cœur fonctionnel de GitHub. En parallèle, la transition du modèle au siège vers la facturation à l’usage complique la gestion des coûts. Et l’offre Azure DevOps reste au catalogue, imposant d’évaluer la complémentarité et/ou les chevauchements avec GitHub.

* Cloud Build, Cloud Deploy, Artifact Registry, Gemini Code Assist, Gemini Cloud Assist, Security Command Center, Secret Manager, Google Cloud Observability, Gemini Enterprise

Illustration © ArtemisDiana – Adobe Stock

The post DevSecOps : la « plate-forme », une notion relative appeared first on Silicon.fr.