Преглед на Fortify WebInspect и най-добри алтернативи
Динамично тестване на сигурността на приложението (DAST) е много специализирана област в индустрията за киберсигурност. DAST инструментите са удобни за тестване на уеб приложения. Те активират различни функции в уеб страница или API, за да тестват поведението му. Тъй като DAST има за цел да изследва сигурността на уеб приложението, той прави опит за прекъсване, за да повреди приложението по някакъв начин.
WebInspect е DAST инструмент, който изследва слабостите в сигурността на приложенията на Wen. Пълното име на тази система за сигурност е Укрепете WebInspect . Продуктовата линия Fortify е собственост на Микро фокус който е предназначен да тества сигурността на системата. Така че WebInspect е част от семейство инструменти, създадени от софтуерни инженери, които имат голям опит в киберсигурността.
Какво прави WebInspect?
Fortify Software е подразделение на Micro Focus и е специализирано в системи за сигурност и проверка, по-специално DAST, SAST и IAST услуги. WebInspect е продукт, който се фокусира върху Тестване на сигурността на уеб приложенията . Системата може да се използва по време на разработване на приложения и като услуга за оценка, когато обмисляте закупуване на нови уеб приложения и услуги. Например, проектен екип за разработка би използвал инструмента за проверка API който може да обмисля да използва, и екип от ИТ операции ще използва инструмента за оценка на уебсайтове на живо.
Системата внедрява робот, за да си проправи път през функциите в уеб приложение и използва OpenAPI за тестване на API. Точните методи за тестване, прилагани от тестовата платформа, могат да бъдат пригодени за проверка спрямо конкретни цели. Тази системна конфигурация може да бъде зададена чрез прилагане на предварително написан шаблон от библиотека, която включва тестове за съответствие към стандартите PCI DSS, DISA STIG, NIST 800-53, ISO 27K, OWASP и HIPAA.
Как да разположа WebInspect?
WebInspect е локален пакет . Инсталира се на Windows Server 2016 и 2019 или Windows 8, 8.1 и 10. Една версия ще работи на Docker, но това също изисква основната операционна система да е Windows или Windows Server.
Системата работи като пълномощник който улавя уеб трафик, така че целта на вашата DAST проверка трябва да бъде достъпна през браузър. Услугата WebInspect следи съобщенията, които пътуват напред-назад между проверявания хост на приложението и браузъра. Освен това услугата предоставя тестова обувка за API и функции, които не представляват пълна уеб страница.
Сканирането, реализирано от WebInspect, може да се стартира при поискване, по график или да се настрои да работи непрекъснато. Непрекъснатият режим е подходящ за интегриране в CI/CD тръбопроводи .
Можете да оцените Fortify WebInspect на a 15-дневен безплатен пробен период .
Плюсове и минуси на WebInspect
Когато оценявахме Fortify WebInspect, идентифицирахме неговите добри и лоши страни.
Професионалисти:
- Дългогодишно съоръжение, което е широко внедрено и е стабилно
- Възможна интеграция с конвейери CI/CD
- Автоматично приспособяване за специфични стандарти за поверителност на данните
- Локалното внедряване гарантира поверителност
- Опции за изпълнение при поискване, планирано или непрекъснато изпълнение
Минуси:
- Няма SAST функции
Fortify предлага други услуги за системно тестване, които включват SAST модул, наречен Static Code Analyzer. Възможно е да комбинирате това с WebInspect, за да получите пълен IAST пакет. Компанията също така предоставя комбинирана услуга за тестване, наречена Fortify on Demand. Това е SaaS платформа който предлага DAST , SAST , IAST , и тестване на мобилни приложения .
Алтернативи на Fortify WebInspect
Въпреки че DAST е пазарна ниша, има изненадващ брой налични инструменти за изпълнението му. Не всички от тях могат да се считат за подходящи алтернативи на WebInspect. Въпреки това възможностите на екипа на Fortify в производството на инструменти за тестване на сигурността на системата са изключителни и компанията трудно може да се сравнява на пазара на DAST.
Нашата методология за избор на алтернатива на WebInspect
Прегледахме пазара за DAST инструменти и анализирахме опциите въз основа на следните критерии:
- Опции, които са налични като SaaS платформа или за локална инсталация
- Услуга, която може да се изпълнява при поискване, по график или непрекъснато
- Хубаво е да има анализ на статичен код (SAST), за да се осигури пълна услуга за тестване на сигурността на интерактивни приложения (IAST)
- Система, която препоръчва корекции за открити грешки и слабости
- Опцията за интегриране на инструмента в CI/CD конвейер
- Безплатен пробен период, демо система или гаранция за връщане на парите
- Добро съотношение цена/качество
Нашата селекция включва инструменти, които могат да се използват за оценка на живи уеб приложения или за тестване на приложения в процес на разработка.
Ето нашия списък с осемте най-добри алтернативи на Fortify WebInspect:
- Invincible (БЕЗПЛАТЕН ДОСТЪП ДЕМО ) Този изчерпателен пакет от инструменти за тестване на сигурността на уеб приложенията включва статично сканиране на код (SAST), както и DAST услуги за предоставяне на пълна IAST система, която може да бъде интегрирана в проекти за разработка или използвана за тестване на приложения на живо. Предлага се като SaaS платформа или за инсталиране на Windows или Windows Server.
- Acunetix (БЕЗПЛАТНА ДЕМОНСТРАЦИЯ) SaaS скенер за уязвимости също може да бъде инсталиран на място и предлага DAST и SAST опции за тестване на разработката. Пакетът на място работи на Windows, macOS и Linux.
- Rapid7 InsightAppSec Платформа SaaS, на която клиентът изпраща код за оценка от експерти по тестване на писалка, използващи инструменти DAST.
- GitLab Ultimate е облачно базирана платформа за разработка, организирана да поддържа DevOps тръбопроводи и включва точки за тестване на DAST в работния процес.
- Динамичен анализ на Veracode SaaS система, която предлага автоматизирани DAST оценки за уеб приложения в природата или в процес на разработка с достъп до експертни съветници за решения.
- Откриване на дълбоко сканиране Система за тестване, базирана на облак, която предоставя сканиране за откриване, DAST оценки и съвети за коригиране.
- Appknox Облачно базирана услуга за автоматизирано тестване, която е специално проектирана за оценка на мобилни приложения. Изберете между модули за тестване DAST, DAST и API.
- ТОРТИ Checkmarx Тази интерактивна система за тестване на сигурността на приложения съчетава системни проверки DAST и SAST от облачна платформа.
Можете да прочетете повече за всяка от тези опции в следващите раздели.
Осемте най-добри алтернативи за укрепване на WebInspect
1. Invincible (ИЗБОР НА РЕДАКТОРА)
Непобедимможе да се използва за тестване за разработка или за сканиране на уязвимости на съществуващи уеб приложения. Тази услуга е малко по-добра от услугата WebInspect, защото включва и двете статичен и динамичен анализ на приложения извън кутията – с WebInspect тези две функции се доставят в отделни модули. Тази комбинация в Invicti осигурява пълна IAST система.
Invicti включва услуга за откриване. Това е полезно за сканиране на съществуващи уеб приложения, особено API, които оценявате за включване в нова разработка. Освен това модулът за откриване ви помага да начертаете взаимозависимостите, което формира a карта на източника за тестване на интеграция, където връзките между приложенията трябва да бъдат изследвани за потенциални течове на данни.
Гъвкавостта на Invicti позволява да се използва за сканиране на уязвимости, тестване с писалка или непрекъснато тестване в жизнен цикъл на развитие . Сканирането може да се стартира при поискване или по график. В допълнение, целите на тестването на услугата могат да бъдат коригирани, за да се осигури съответствие със стандартите за поверителност на данните, като HIPAA и PCI DSS.
Можете да избирате между хоствана версия на Invicti и локален пакет . Хостваната система е цялостна SaaS платформа, включително място за съхраняване на резултатите от сканирането във времето за исторически анализ. Локалната версия се инсталира на Windows и Windows сървър . Можете да получите достъп до безплатна демонстрация.
ИЗБОР НА РЕДАКТОРИТЕ
Непобедиме страхотен конкурент на Fortify WebInspect, защото предоставя единен пакет от функции DAST и SAST, за да предостави IAST услуга, която проверява всички уеб приложения, включително API. Този инструмент помага за предотвратяване на съществуващи уеб приложения, а също и за тестване на модули в процес на разработка. Така че Invicti може да се използва както за CI/CD тръбопровод, така и от ИТ оперативния персонал.
Вземете демо : invicti.com/get-demo/
Операционна система : SaaS или за инсталиране на Windows и Windows Server
две. Acunetix (БЕЗПЛАТНА ДЕМОНСТРАЦИЯ)
Акунетикс е скенер за уязвимости, който се предлага в три формата. Тази система е подходяща за сканиране за уязвимости на уеб приложения при поискване, редовно планирано сканиране на уеб приложения и мрежи или интегрирано тестване в CI/CD тръбопровод .
Услугата, която получавате с Acunetix, зависи от плана, който изберете. The Стандартен планът предлага сканиране за уязвимости при поискване. Това може да се използва и като инструмент за тестване на проникване за уеб приложения. Той сканира за 7000 уязвимости, които включват Топ 10 на OWASP .
Погледни към Премиум планирайте да автоматизирате сканирането на уеб приложения и да добавите сканиране за мрежови уязвимости. Автоматизираният вътрешни сканирания забележи повече от 50 000 слабости.
Acunetix се предлага като SaaS платформа. Въпреки това е възможно също така да получите софтуера като пакет, който да инсталирате на вашия хост. Тази версия е достъпна за Windows , macOS , и Linux . Влезте в демонстрационната система, за да оцените безплатно Acunetix.
Акунетикс 360 е най-добрият план и предлага сканиране за уязвимости за уеб приложения, но може да се използва и за тестване в CI/CD тръбопровод . В сценария за разработка бихте настроили системата за тестване да работи непрекъснато, която работи с DAST стратегия. Пакетът също така включва система за сканиране на код, за да ви даде SAST.
Вземете демо : acunetix.com/web-vulnerability-scanner/demo/
Операционна система : SaaS или за инсталиране на Windows и Windows Server
3. Rapid7 InsightAppSec
Бързо7 спонсорира Metasploit и произвежда Metasploit Professional. Освен това, услугата за тестване на писалка и сканиране на уязвимости, Rapid7 също предлага InsightAppSec пакет, който предоставя DAST система.
Тази услуга предоставя при поискване и планирано сканиране за уязвимости на уеб приложения, което обхваща Топ 10 на OWASP . Това е облачна платформа, така че услугата не е ограничена до системи за наблюдение, разположени на конкретен сървър или един сайт. Услугата е достъпна и за проверка на приложения, които все още са частни, докато са в процес на разработка.
Тестовете, извършени от Rapid7 InsightAppSec, могат да бъдат прекалибрирани, за да отговарят на конкретна стандарт за поверителност на данните . Вие определяте стандарт в настройките на инструмента и всички тестове и цели на тестера автоматично се коригират съответно. Системата може също така да създаде документация за проверка на заявлението, която е подходяща за подаване като част от a доказателство за съответствие пакет.
Можете да оцените Rapid7 InsightAppSec, като отворите неговия 30-дневен безплатен пробен период .
Четири. GitLab Ultimate
GitLab е облачно базирана среда за разработка, която включва система за тестване. Системата за поддръжка DevOps се предлага в три издания: Безплатно , Премиум , и Ultimate . Платформата за тестване е включена само в плана Ultimate.
Услугата за тестване в пакета GitLabs Ultimate предлага a DAST система. Той може да извършва услуга за откриване, която сканира уеб приложения и ги картографира зависимости . В допълнение, тази система може да проследява чрез API и да извършва тестове на процедурите за архивиране. Тестерът може да бъде стартиран при поискване в стила на сканиране за уязвимости, или може да се изпълнява по график или да се настрои работи непрекъснато .
Услугата за тестване в плана Ultimate също има сканиране на код SAST услуги на разположение. Тази услуга за статична оценка оценява кода за сигурност и идентифицира области за подобрение. Услугата за тестване може да се използва и за налагане съответствие с лиценза .
GitLab Ultimate е достъпен за 30-дневен безплатен пробен период .
5. Динамичен анализ на Veracode
Динамичен анализ на Veracode е базирана в облака DAST платформа за тестване, която търси повече от 150 типични грешки в сигурността, открити в разработваните уеб приложения. Това е услуга, която е проектирана да се вписва в CI/CD тръбопровода. Услугата за тестване дава препоръки за промени в кода за коригиране на откритите слабости.
Тестовите съоръжения включват автоматични и непрекъснато откриване и предлагат система за скриптове, която позволява тестване на код интерактивни елементи . Това се състои от възможността да се издават действия за тестване на екрани за влизане и дейности като плащане на клиенти. С тези тестове можете да проверите успешните взаимодействие със системи като мениджъри на права за достъп и бази данни.
Тестовете се инициират чрез въвеждане на URL адрес в системния екран на Veracode или зареждане на файл, който съдържа списък с URL адреси за пакетно тестване на много нови приложения в неконтролирано изпълнение. Това DAST тестовото стартиране може да бъде интегрирано в системи за управление на проекти и задачи за автоматизация на разработката, така че тестването да се извършва автоматично, когато нов модул се движи по CI/CD конвейера.
Veracode Dynamic Analysis се предлага като демо система за оценка.
6. Откриване на дълбоко сканиране
Откриване на дълбоко сканиране предлага лесен за използване Уеб интерфейс за стартиране на DAST тестове. Тестовете могат да бъдат настроени чрез въвеждане на URL адрес за сканиране или използване на услугата Discovery на системата за търсене във вашите уеб приложения и картографиране на зависимости.
Системата за тестване се разгръща DAST тестване на черна кутия за уеб приложения, съсредоточавайки се върху Топ 10 на OWASP и собствена база данни на нулев ден уязвимости, които системата Detectify открива по време на работните си реализации за много клиенти. Системата Detectify е сглобена от екип за тестване на писалка, който сам използва инструмента по време на поръчки. Новите атаки и слабости, които тази група открива в своята консултантска работа, също се добавят към Detectify експлоатация на уязвимости база данни.
Detectify Deep Scan е подходящ за използване по време на тестване за проникване, и може да се използва и като скенер за уязвимости за уеб приложения. Инструментът може да бъде настроен да работи непрекъснато, интегриран в CI/CD конвейер. The SaaS платформа се хоства в Швеция и таксите му са определени в евро. Услугата е достъпна за двуседмичен безплатен пробен период .
7. Appknox
Appknox е специализирана платформа за тестване, която е създадена специално за тестване на мобилни приложения. Помощните програми на тази облачна система могат да се използват за тестване за проникване и тестване на уязвимости . Услугата може също така да бъде интегрирана в среди за разработка, за да осигури разработчици, системни тестери, тестери за приемане и екипи за ИТ операции в DevOps производството и поддръжката на мобилни приложения.
Услугата Appknox се предлага в три издания. Това са Съществено , Професионален , и Предприятие . Платформата предлага набор от стратегии за тестване и всички планове включват статично тестване ( SAST ) и динамично тестване ( DAST ) опции, което ви дава пълен IAST обслужване. Тестовете в библиотеката са подходящи за различни нужди на всеки етап от жизнения цикъл на разработката.
Стандартната оферта за планове на Appknox тестова автоматизация услуги. Има обаче и управлявани от хора услуги, налични като екстри. Те включват оценка на кода от експерти по сигурността и услуги за тестване за проникване.
8. ТОРТИ Checkmarx
ТОРТИ Checkmarx е интерактивна платформа за тестване на сигурността на приложения, която включва услуги за сканиране на код и системи за тестване на черна кутия. Тази комбинация предлага тестове от и извън всяко уеб приложение. Комбинацията от SAST и DAST дава на екипа за разработка набор от тестове, необходими на всяка стъпка от жизнения цикъл на разработката. В допълнение, системата за тестване може да бъде интегрирана в CI/CD тръбопровод .
Услугата DAST на cIAST сканира за Топ 10 на OWASP които обхващат достъпа до бази данни и системи за удостоверяване и самото уеб приложение. Инструментът може да бъде интегриран в проследяване на проблеми и мениджърите на работния процес на проекта да изпращат модули обратно на разработчика, ако възникнат проблеми по време на тестване. Докладът за проблема ще подчертае проблема и ще предложи корекции.