从市场规模来看，未来WAAP将逐步替代WAF，成为Web应用安全市场主流产品，同时也将涵盖API安全等其它市场。

随着云原生和微服务架构的兴起，Web业务的部署和管理方式发生了巨大变化。以APP应用和小程序为代表的移动应用使用量骤增，物联网的高速发展也使得API端点激增，基于BOT的自动化攻击流量快速上升。这些变化都使得Web暴露面开始大幅增加，Web应用面临的风险与日俱增，传统的WAF越来越难以应对日益复杂的针对Web的网络攻击。在此背景下，新技术WAAP应运而生。

从市场规模来看，未来WAAP将逐步替代WAF，成为Web应用安全市场主流产品，同时也将涵盖API安全等其它市场。

IDC认为，WAAP是以WAF为核心，聚合API安全、机器人程序管理、抗DDoS等技术的安全解决方案。WAAP可以包括WAF、机器人程序管理、API安全、客户端保护和其他相关功能，但必须包括WAF功能才能被视为WAAP。

从调研来看，国内WAAP产品和解决方案仍处于早期阶段，行业能力平均值较低，未来市场将有很大的发展空间。

展望未来，IDC认为：

• WAAP将面对越来越多的应用，利用大模型的能力，实现策略动态下发，针对不同网站，可以自动化生成最适合客户业务场景的防护策略，最大程度地降低误报和漏报，减少运营成本。

• API的能力将持续加强，例如API分类分级管理、API生命周期管理、API流量成分与趋势分析、API脆弱性与风险漏洞检测等等。另外，API接口作为数据流转的主要通道，是敏感数据跨境传输的重要途径之一，因此，增强对敏感数据跨境合规的评估也非常重要。

• IT架构的变化，越来越多企业上云，同时也有私有云和自建数据中心，因此WAAP的接入场景会愈发复杂。另外，对于WAAP提供商而言，接入能力也决定了对于客户流量的覆盖度。对于WAAP而言，多场景灵活部署和统一管控至关重要。

IDC中国研究总监王军民表示，随着企业数字化进程加速与微服务的流行，API流量与日俱增，对API的保护迫在眉睫。因此，API保护已经成为WAAP产品中的重要核心能力，WAAP提供商在持续加强WAF、抗CC类DDoS攻击、机器人管理外，需要持续加大在API保护方面的研发投入。另外，大模型能力应用于WAAP产品上，也将大大提升WAF、抗DDoS、机器人管理及API安全的能力，这或许将会给WAAP的安全防护能力带来颠覆性的提升。