你认为App Scan和Fortify SCA哪家强一些？

“

“DevSecOps”，一种全新的安全理念与模式，从DevOps 的概念延伸和演变而来，其核心理念是为安全整个 IT 团队（包括开发、运维及安全团队）每个人的责任，需要贯穿从开发到运营整个业务生命周期的每一个环节。

”

DevSecOps，现代Web应用程序设计和高性能漏洞正在影响不断增长的应用程序安全测试市场。 安全和风险管理领导者需要通过在软件生命周期中集成和自动化AST来满足更紧迫的期限并测试更复杂的应用程序。

Gartner于2018年3月19日发布《Gartner 2018应用程序安全测试魔力象限》报告：报告（文末可下载）给出了2018年的最新AST市场研究成果。

01

战略规划假设

预计到2019年，将有超过50％的企业DevOps计划将针对自定义代码整合应用程序安全测试（AST），从目前的不到10％增加。

到2020年，60％的安全供应商将获得机器学习能力，从目前的不到10％增加。

02

市场定义/描述

Gartner将AST市场定义为旨在分析和测试应用程序安全漏洞的产品和服务的买家和卖家。 Gartner确定了AST的四种主要风格：

静态AST（SAST）技术通常在编程和/或测试软件生命周期（SLC）阶段分析应用程序的源代码，字节码或二进制代码，以解决安全漏洞。

动态AST（DAST）技术在测试或运行阶段分析应用程序的动态运行状态。它模拟对应用程序的攻击（通常是支持Web的应用程序和服务），分析应用程序的反应，从而确定它是否易受攻击。

交互式AST（IAST）技术同时结合了SAST和DAST的元素。它通常作为测试运行时环境中的代理实现（例如，检测Java虚拟机[JVM]或.NET CLR），以观察操作或攻击并识别漏洞。

Mobile AST对字节或二进制代码执行SAST，DAST，IAST和/或行为分析，以识别移动应用程序中的漏洞。

魔力象限入围厂商品牌共计12家，包含CA Technologies(Veracode)、Micro Focus、Checkmax、IBM、Synopsys、WhiteHat Security、Qualys、Rapid7、Trustware、SiteLock、Positive Technologies、Contrast Security。

出于好奇以及对工作使用的位于领导者象限的Fortify和App Scan进行比较，两款工具各有所长，是企业级AST的尤佳工具。

来一波投票吧！

报告下载

可扫码（长按识别）获取！