2019年頂級應用安全工具
責編:gltian |2018-11-28 13:38:14威瑞森《2018數據泄露調查報告》稱,大多數黑客攻擊仍是通過Web應用發起。基于此,應用測試和防護就成為了很多公司企業的首要任務。如果會利用一些精選應用安全工具,這項工作還可以完成得更輕松些。下面便為大家列出2019最佳應用安全工具,并附上各自的最有效使用場景。
本列表信息來源包括:
- IT中央站(ITCS)安全應用測試工具列表(2018年9月),該列表基于ITCS龐大的IT專業社區個人使用體驗評分得出。
- Gartner《應用防護市場指南》(2017年6月)。
- Gartner《應用安全測試魔力象限》(2018年3月)。
- 持續更新的SecTools網絡安全工具125強。雖然是針對網絡的安全工具,但其中一些對應用測試也很有效。
本應用安全工具列表中既包含商業產品也包含免費工具。沒附上報價的商業產品往往與該供應商其他產品捆綁銷售,如果量大或訂閱時間長會有折扣。一些免費工具,比如 Burp Suite,也有提供更多功能的付費版。
按字母順序表排列的最佳應用安全工具奉上:
1. Arxan Application Protection
該工具可用于運行時應用自保護(RASP)。Arxan Application Protection 可抵御逆向工程和代碼篡改,尤其適用于手機應用。
- 目標用戶:高級開發人員
- 應用聚焦:RASP
- 封裝:Mac、Windows、安卓、iOS、Linux
- 定價:請聯系供應商
2. 新思科技出品的黑鴨子( Black Duck )
黑鴨子軟件可在應用開發過程中自動化開源安全及許可合規,可用于檢測、監視、緩解和管理整個開源應用資產組合。新思科技一直在并購其他應用安全供應商,比如Coverity和Codenomicon。
Gartner魔力象限領頭羊
- 目標用戶:開源項目開發者
- 應用聚焦:開源應用測試
- 封裝:軟件即服務(SaaS)
- 定價:現場演示版,請聯系供應商
3. PortSwigger出品的 Burp Suite
Burp Suite 是多年來不斷擴展和增強的流行滲透測試工具集之一。其所有工具的HTTP消息、駐留、身份驗證、代理、日志和報警處理與顯示都共享同一個框架。付費版包含更多手動及自動化測試工具,并與Jenkins之類其他框架進行了集成,且有文檔完備的 REST API。
ITCS排名第七
- 目標用戶:高級開發人員
- 應用聚焦:Web應用滲透測試與漏洞掃描器
- 封裝:Mac、Windows、Linux、JAR
- 定價:各版本定價不同,有免費版和最高4,000美元/年的付費版,帶60天免費試用期
4. CA/Veracode應用安全平臺
Veracode提供一系列安全測試與威脅緩解技術,全部托管在中心平臺上,開發和生產情況下都可以用來查找漏洞和評估風險。該產品已推出多年,有廣泛的用戶基礎,數10萬不同應用都曾用它進行測試和評估。Veracode的最小安裝和完全安裝都非常好用,廣受用戶好評。
ITCS排名第一,Gartner魔力象限領跑者
- 目標用戶:開發人員
- 應用聚焦:靜態及動態代碼掃描
- 封裝:SaaS
- 定價:聯系供應商
5. Checkmarx
Checkmarx提供一系列的應用測試工具,包括靜態及動態代碼掃描工具和用于分析開源內容的工具。這些工具支持一系列編程語言,應用廣泛,可以持續監視應用程序以檢測漏洞。該公司收購了Codebashing,并將之集成進自己的軟件,擴展其安全編碼培訓功能。
ITCS排名第二,Gartner魔力象限領先者
- 目標用戶:開發人員
- 應用聚焦:靜態及動態代碼掃描,安全編碼培訓
- 封裝:SaaS和現場
- 定價:聯系供應商,免費演示版
6. MicroFocus出品的Fortify
Fortify集成開發與測試工具有SaaS、現場版和移動版,可提供持續應用監視。盡管企業監管者很多,但從惠普軟件組歸入MicroFocus的Fortify工具歷史悠久,安裝應用廣泛。Fortify還可以集成進 Eclipse IDE 和 Visual Studio 中。
ITCS排名第三,Gartner魔力象限領先者
- 目標用戶:開發人員
- 應用聚焦:靜態及移動代碼掃描
- 封裝:SaaS和現場版
- 定價:15天免費試用,聯系供應商
7. IBM Security AppScan
IBM的應用安全軟件很多,其中就有 Security AppScan。共有3個版本:源碼版、標準版和企業版。該軟件最為著名的一點就是可以導入來自人工代碼審查、滲透測試乃至競爭對手軟件漏洞掃描器的多種數據格式,還有移動版可以掃描iOS和安卓應用。
ITCS排名第四,Gartner魔力象限領跑者
- 目標用戶:大企業
- 應用聚焦:應用代碼掃描,包括移動、靜態和動態方法。
- 封裝:SaaS和現場
- 定價:30天免費試用,聯系供應商
8. Rogue Wave 出品的Klocwork
Klocwork提供的功能包括靜態應用掃描、持續代碼集成和代碼架構可視化工具,還內建有CERT、CWE和OWASP等各種安全標準的檢查工具。Klocwork可標記代碼注入、跨站腳本、內存泄漏和其他脆弱編碼操作。
ITCS排名第九
- 目標用戶:開發人員
- 應用聚焦:靜態代碼分析器
- 封裝:SaaS
- 定價:免費試用
9. Qualys Web App Scanning
Qualys是應用防護市場的老牌玩家,Qualys Web App Scanning 可查找并分類企業中所有Web應用,執行動態掃描,報告惡意軟件感染,并提供修復代碼的方法。該產品是名為 Cloud Apps 的完整產品組合中的一部分。Cloud Apps 每年執行數十億次掃描,還包含有基礎設施和終端安全工具,并支持其他Web應用防火墻。這些服務都有免費的刪減版,還有各種可用于SSL網站、證書和瀏覽器配置的免費檢查工具。
ITCS排名第八
- 目標用戶:Web應用開發人員
- 應用聚焦:動態應用掃描
- 封裝:SaaS
- 定價:免費版和30天免費試用版,各種訂閱和使用費
10. Imperva出品的Prevoty
Prevoty是又一款用于運行時應用自保護(RASP)的工具,可抵御逆向工程和代碼篡改,尤其適用于手機應用。
- 目標用戶:開發人員
- 應用聚焦:RASP
- 封裝:SaaS
- 定價:聯系供應商
11. Selenium
Selenium有用于自動化測試Web應用及其在各瀏覽器中表現的一整套工具,配合其自身Selenium腳本集成開發環境使用。這套工具以瀏覽器擴展的形式實現,可供錄制、編輯和調試測試,還可以錄制和重放其腳本。Selenium還為檢測手機及Web瀏覽器安全問題的各種插件提供廣泛的第三方支持。
- 目標用戶:應用開發人員
- 應用聚焦:Web應用測試
- 封裝:需自備服務器,支持多種編程語言,包括 C#、Ruby和Python
- 定價:免費
12. OWASP創建的WebGoat
WebGoat是開放Web應用安全計劃(OWASP)創建的特設不安全Web應用。OWASP維護著事實上的關鍵Web漏洞列表。WebGoat就是個教學工具,向用戶展示常見漏洞利用的效果和在應用中規避漏洞的必要性。WebGoat提供大量編碼樣例和其他小技巧,面世15年來已出到第八版。
- 目標用戶:開發人員
- 應用聚焦:代碼注入、跨站腳本和不安全憑證等問題的測試
- 封裝:JAR文件
- 定價:免費
13. OWASP創建的 Zed Attack 代理
Zed Attack 同樣來自OWASP,是開源社區的工作成果,用于在Web應用開發階段自動化查找安全漏洞。Zed Attack 處于用戶App和瀏覽器之間,攔截Web流量并檢查其中有無漏洞。
ITCS排名第六
- 目標用戶:開發人員,尤其是開發新手
- 應用聚焦:僅Web應用
- 封裝:Windows、Linux、Mac 和 Docker app,要求有 Java 7+
- 定價:免費
威瑞森《2018數據泄露調查報告》: