你認為App Scan和Fortify SCA哪家強一些？

「

「DevSecOps」，一種全新的安全理念與模式，從DevOps 的概念延伸和演變而來，其核心理念是為安全整個 IT 團隊（包括開發、運維及安全團隊）每個人的責任，需要貫穿從開發到運營整個業務生命周期的每一個環節。

」

DevSecOps，現代Web應用程序設計和高性能漏洞正在影響不斷增長的應用程序安全測試市場。 安全和風險管理領導者需要通過在軟體生命周期中集成和自動化AST來滿足更緊迫的期限並測試更複雜的應用程序。

Gartner於2018年3月19日發布《Gartner 2018應用程序安全測試魔力象限》報告：報告（文末可下載）給出了2018年的最新AST市場研究成果。

01

戰略規劃假設

預計到2019年，將有超過50％的企業DevOps計劃將針對自定義代碼整合應用程序安全測試（AST），從目前的不到10％增加。

到2020年，60％的安全供應商將獲得機器學習能力，從目前的不到10％增加。

02

市場定義/描述

Gartner將AST市場定義為旨在分析和測試應用程序安全漏洞的產品和服務的買家和賣家。 Gartner確定了AST的四種主要風格：

靜態AST（SAST）技術通常在編程和/或測試軟體生命周期（SLC）階段分析應用程序的源代碼，位元組碼或二進位代碼，以解決安全漏洞。

動態AST（DAST）技術在測試或運行階段分析應用程序的動態運行狀態。它模擬對應用程序的攻擊（通常是支持Web的應用程序和服務），分析應用程序的反應，從而確定它是否易受攻擊。

互動式AST（IAST）技術同時結合了SAST和DAST的元素。它通常作為測試運行時環境中的代理實現（例如，檢測Java虛擬機[JVM]或.NET CLR），以觀察操作或攻擊並識別漏洞。

Mobile AST對位元組或二進位代碼執行SAST，DAST，IAST和/或行為分析，以識別移動應用程序中的漏洞。

魔力象限入圍廠商品牌共計12家，包含CA Technologies(Veracode)、Micro Focus、Checkmax、IBM、Synopsys、WhiteHat Security、Qualys、Rapid7、Trustware、SiteLock、Positive Technologies、Contrast Security。

出於好奇以及對工作使用的位於領導者象限的Fortify和App Scan進行比較，兩款工具各有所長，是企業級AST的尤佳工具。

來一波投票吧！

報告下載

可掃碼（長按識別）獲取！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！