连续检测/静态应用安全测试平台的特点和价格比较
Feature and price comparison of continuous inspection / static application security testing platforms
主要持续检查和静态应用程序安全测试 (SAST) 平台(如 SonarQube、Coverity、CodeScene、 TeamScale 等?
虽然我很高兴被证明是错误的,但我认为答案是 否,没有包含商业工具的公开比较。
第一个原因是商业供应商通常只根据保密协议的条款向潜在客户提供他们的工具。因此,尽管潜在客户通常在购买前进行自己的内部比较,但他们无法公布结果。
第二个原因与您要求进行“代表性”比较有关。我假设您的意思是进行比较,以准确预测这些工具在您的开发环境中的表现。不幸的是,给定工具的价值通常在很大程度上取决于采用组织的编程语言、开发文化和内部政治。例如,一些工具优先考虑低误报率(低噪声),而其他工具优先考虑不忽略任何东西(低误报率),而其中哪一个更可取是高度主观和组织依赖的。工具设计的许多维度 space 同样无法客观比较,并且工具在 space.
的不同点上
然而,虽然工具供应商需要 NDA 来执行评估,但通常是免费的(除了您选择花在这上面的任何时间)。如果您在市场上购买商业工具,您可以联系感兴趣的供应商安排评估。
披露:我是其中一家供应商 (Coverity/Synopsys) 的前雇员,目前拥有多家供应商的经济利益。
主要持续检查和静态应用程序安全测试 (SAST) 平台(如 SonarQube、Coverity、CodeScene、 TeamScale 等?
虽然我很高兴被证明是错误的,但我认为答案是 否,没有包含商业工具的公开比较。
第一个原因是商业供应商通常只根据保密协议的条款向潜在客户提供他们的工具。因此,尽管潜在客户通常在购买前进行自己的内部比较,但他们无法公布结果。
第二个原因与您要求进行“代表性”比较有关。我假设您的意思是进行比较,以准确预测这些工具在您的开发环境中的表现。不幸的是,给定工具的价值通常在很大程度上取决于采用组织的编程语言、开发文化和内部政治。例如,一些工具优先考虑低误报率(低噪声),而其他工具优先考虑不忽略任何东西(低误报率),而其中哪一个更可取是高度主观和组织依赖的。工具设计的许多维度 space 同样无法客观比较,并且工具在 space.
的不同点上然而,虽然工具供应商需要 NDA 来执行评估,但通常是免费的(除了您选择花在这上面的任何时间)。如果您在市场上购买商业工具,您可以联系感兴趣的供应商安排评估。
披露:我是其中一家供应商 (Coverity/Synopsys) 的前雇员,目前拥有多家供应商的经济利益。