Описание
Карта инструментов помогает подобрать оптимальные решения под различные задачи и условия.
Что важно знать про карту
- Карта инструментов показывает, какие существуют классы и типы решений, и как они связаны между собой в общей DevSec/AppSec экосистеме.
- Текущая версия карты — прототип, она активно дорабатывается и будет развиваться вместе с сообществом
- Предыдущая версия карты доступна по ссылке: Карта инструментов DevSecOps (PDF)
- Для каждого инструмента агрегируются meta‑данные: наличие и тип сертификации (в т.ч. ФСТЭК), модель лицензирования (OSS / коммерческая / гибрид), возможность импортозамещения, поддерживаемые языки и стеки, форматы отчётов, поддерживаемые стандарты (OWASP, NIST и др.) и прочие характеристики
- Вся верстка карты построена на дизайн‑системе Material, что упрощает чтение, навигацию и дальнейшее расширение интерфейса
- Репозиторий открыт для сообщества: мы осознанно принимаем pull‑requests с правками, дополнениями и новыми инструментами, чтобы карта развивалась как общий референс вместе с комьюнити.
- Реализована гибкая фильтрация по meta‑данным: можно отбирать инструменты по лицензии, сертификации, вендору, доступности в РФ, типу отчётов, поддерживаемым языкам и другим признакам.
- Из карты намеренно убраны устаревшие и не поддерживаемые решения, а также инструменты с низкой актуальностью или давно не обновлявшимися релизами.
- Списки инструментов в каждой категории актуализированы; сейчас готовятся правки по текстам, уточнение описаний и добавление дополнительных материалов (кейсы применения, ссылки на документацию, примеры интеграций).
- Карта задумывается не только как справочник, но и как практическое средство планирования: она помогает выстраивать дорожные карты импортозамещения, выбирать минимально жизнеспособный набор инструментов под конкретные ограничения и прозрачно обсуждать решения внутри команд и с заказчиками.
Карта инструментов
| Направление | Тип | Класс | Проприетарное ПО | Свободное ПО | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| AppSec | SAST | Статический анализатор | BlackDuck | SASTAV | Solar appScreener (SAST) | PT Application Inspector | CheckMarx | Bandit | Weggli | tfsec | PMD | Terrascan |
| Klockwork | SonarQube EE | ИСП РАН Svace | PVS-Studio | GitLab SAST | Joern | kics | Retire.js | CodeQL | Osquery | |||
| AppSec.Wave | Microfocus Fortify | Coverity | Veracode Static Analysis | Snyk Code | bearer | detect-secrets | js-x-ray | Checkov | Semgrep | |||
| Cycode SAST | HCL AppScan Source | Spectral SAST | AccuKnox SAST | Aikido Static Analysis | njsscan | SonarQube Community | Cppcheck | Infer | Brakeman | |||
| Codacy Security | DeepSource Static Analysis | Mend SAST | Xygeni SAST | Wiz SAST | PHPStan | ESLint | SpotBugs | Yasca | SonarLint | |||
| ESLint Plugin Security | ShellCheck | Shell CGI Static code analysis | ||||||||||
| Attack Surface Analysis | Анализ поверхности атаки | PVS Studio | ИСП РАН Natch | Qodana | Microsoft Defender EASM | Palo Alto Cortex Xpanse | pyre-check | FlowDroid | airbus-seclab bincat | polytracker | Ponce | |
| CyCognito | CrowdStrike Falcon Surface | FireCompass ASM | Detectify ASM | psalm | find-sec-bugs | |||||||
| IAST | Интерактивный анализатор | PT Application Inspector | Synopsys Seeker | Hdiv Detection (IAST) | Contrast Assess | CAST Highlight (IAST) | Contrast Security OSS | DongTai IAST | DongTai Java Agent | DongTai Go Agent | DongTai Python Agent | |
| Codename SCNR (Бывший Arachni) | Microfocus Fortify WebInspect | Veracode Interactive Analysis | Checkmarx IAST | Invicti Shark IAST | DongTai Base Image | DongTai IDEA Plugin | 4A | Middleware IAST Agent | OWASP Benchmark Java (IAST target) | |||
| Acunetix AcuSensor | New Relic IAST | Fortify IAST (Fortify on Demand) | EvoMaster (white-box API IAST-like) | IAST Demo Agent (Contrast CE sample) | ||||||||
| SCA/OSA | Анализатор | CodeScoring | Сканер уязвимостей Ya Cloud | AppSec.Track | Snyk | JFrog Xray | Grype | OpenSCAP | Dependency Track | Dependency Check | Depscan | |
| Solar AppScreener (SCA) | PT Application Inspector | Spectral Mend SCA | Azul | BlackDuck | Trivy | Syft | OpenSCA | OpenSCA Web | Tern | |||
| Mend SCA | Sonatype Repository Firewall | Veracode SCA | Sonatype Nexus Lifecycle | FOSSA SCA | ||||||||
| Jit SCA | Debricked | Aikido SCA | Cycode SCA | Plexicus ASPM (SCA) | ||||||||
| GitLab Dependency Scanning | Qodana + Mend SCA | Endor Labs | Xygeni SCA | Arnica SCA | ||||||||
| StaticReviewer | ||||||||||||
| SBOM | SBOM | Spectral | Endor Labs | Dynamic SBOM | Cybeats SBOM Studio | Codenotary | Trivy | Syft | Jit ASPM platform (SBOM) | CycloneDX (CDXGen) | SPDX SBOM Generator | |
| Sonatype SBOM Manager | Dynamic SBOM | CycloneDX CLI | Tern CycloneDX Generator | Syft for SBOM (language‑specific) | BOM (Java SBOM tool) | Retire.js (SBOM mode) | ||||||
| Jake (npm SBOM tool) | ||||||||||||
| BCA | Бинарный анализатор | IDAPRO | Dynamic SBOM | CodeSentry | Black Duck Binary Analysis | BinSide | BinaryNinja | JADX | ILSpy | Dotpeek | Procyon | |
| Veracode Binary SAST | Ghidra | BINSEC | Manticore | BAP | cwe_checker | |||||||
| binbloom | ||||||||||||
| DAST | DAST | Acunetix Premium 14 | PT Black Box | SolidPoint DAST | HCL AppScan | Burp Suite EE (Intruder) | OWASP ZAP | Burp Suite CE | OpenVAS | Wapiti | Nuclei | |
| InsightAppSec | Solar AppScreener | Checkmarx DAST | Veracode DAST | Invicti | RESTler | Nikto | Arachni | Akto OSS | Skipfish | |||
| FortiDAST | AppSpider | AppCheck | Netsparker Enterprise | Probely | arachni-rest | Shelling | command-injection-attacker | |||||
| Whitebox Fuzzing | Crusher | CI Fuzz | Peach Fuzzer | Synopsys Defensics | Fortra Enterprise Fuzzing | Fernflower | BinSide | Sydr/Sydr-fuzz | JQF + Zest | SharpFuzz | ||
| LLVM libFuzzer | cargo-fuzz | |||||||||||
| MAST | Анализатор MobApp | Стингрей | App-Ray | Codified Security | ImmuniWeb | Quixxi | RMS | MobSF | Objection | MitmProxy | Drozer | |
| Q-mast | NowSecure Platform | Appknox | AppSweep | Edgescan Mobile | Ostorlab | Needle | QARK | AndroBugs | QVMAP (Qiling VM Android Profiling) | |||
| Frida | ||||||||||||
| RASP | Анализатор при Runtime | Fortify | AppSec.Cryptex | Jscrambler | Signal Sciences | Appdome | OpenRASP | Hdiv CE (RAST) | freeRASP Android | freeRASP iOS | Free-RASP Community | |
| Liapp | Imperva | Appsealing | Falco | Contrast Protect | android-rasp | rasp-poc | ||||||
| Talsec RASP+ | Pradeo RASP | Digital.ai Application Protection (RASP) | Promon SHIELD | |||||||||
| API | ApiSec_WAF | brightsec | fastly API security | Fortify Webinspect | Вебмониторэкс | appsentinels | 42Crunch API Security | API Security Empire | Astra | SSL Kill Switch 2 | gravitee-api-management | |
| stackhawk | PT Application Firewall | Q-APISec | SolidWall WAF | Salt Security | LAST (latio) | UsageFinder | WSO2 API Manager | Probely | Akto | |||
| CloudGuard WAF | Cloudflare API Shield | Imperva API Security | Akamai API Security | Wallarm | ||||||||
| codecoverage | SonarQube EE | Visual Studio Enterprise Code Coverage | dotCover | Parasoft Code Coverage (C/C++test/Jtest) | Squish Coco | llvm-cov | JaCoCo | Codacy | gcov | Cobertura | ||
| RKTracer | Cantata Coverage | NCover | Squish Test Center Coverage | BullseyeCoverage | Coverage.py | pytest-cov | Istanbul / nyc | scoverage | OpenCppCoverage | |||
| VectorCAST/Cover | Parasoft C/C++test (coverage‑only use) | Coverlet | EMMA | ReportGenerator | go-test-coverage | OpenCov | ||||||
| Codecov Uploader (OSS client) | ||||||||||||
| Application Security Posture Management | Phoenix Security Platform | OX Security Platform | AppSOC ASPM | Kondukto | Legit Security | Defect Dojo | Open ASPM | Faraday Community | PatrOwl | Mixeway Platform | ||
| ArmorCode | Hexway | Veracode ASPM | AppSec.Hub | TARS | Jackhammer | Seccubus | Kvasir | Watchdog (Flipkart) | OpenVAS + Greenbone Community UI | |||
| CyberCodeReview | Defect Dojo Pro | OpsMx Delivery Shield (community components) | ||||||||||
| Container Security | Qualys Kubernetes and Container Security | Deepfence ThreatStryker | Aqua Container Security Platfrom (CNAPP) | AccuKnox Container Security | Kaspersky Container Security (KCS) | ThreatMapper | cilium | Kubernetes Security Platform | Tetragon | Harbor | ||
| Luntry | PT Container Security (PT CS) | КУПОЛ.Контейнеры | CrossTech Container Security | Snyk Container | Calico | Falco | Talos Linux | Trivy | Anchore Engine | |||
| Red Hat Advanced Cluster Security for Kubernetes (RHACS) | Prisma Cloud | Aqua Container Security | GitLab Container Scanning | Wiz Container Security | Clair | kube-bench | kube-hunter | Dagda | OpenSCAP oscap-docker | |||
| Sysdig Secure | Check Point CloudGuard Container Security | Trend Micro Cloud One – Container Security | Bitdefender GravityZone Security for Containers | Uptycs CNAPP (Container & K8s Security) | Sysdig open-source | kube-capacity / kube-psp-advisor (policy helpers) | kubeaudit | Dockle | kube-score | |||
| SentinelOne Singularity Cloud (Container Security) | Hillstone CloudArmour CNAPP | Sysdig Secure for Cloud (Kubernetes & Container) | CloudGuard CNAPP (Workload & Container Protection) | CloudDefense.AI Container Security | ||||||||
| Secrets Management | Hashicorp Vault | Senhasegura | AppSec.Code | Cloud KMS | Keywhiz | AppArmor | OPA Gatefeeper | Infisical | OpenBAO | Gitleaks | ||
| BitWarden | Harbor | Spectral Secret Scanner | Azure Key Vault | Knox | Trufflehog | Spring Cloud Config | Gerrit | SOPS | CheckMate | |||
| Consul | AWS Secrets Manager | Strongbox | Yandex Lockbox | Nexus Repository Management | CoSign | Confidant | Conjur | Open Policy Agent (OPA) | Casbin | |||
| ЦУП 2.0 | Permify | OpenFGA | OPAL (Open Policy Administration Layer) | HashiCorp Vault (OSS) | Wazuh | |||||||
| Security Onion | Elastic Stack (Elastic Security) | SPIFFE / SPIRE | Keycloak | OSSEC | ||||||||
| Suricata | Zeek | Trivy Operator (Kubernetes) | kube-bench (as security governance) | |||||||||
| MLSecOps | Сitadel | Guardian | AppSec.GenAI | Guard-ai | АI-guard | Advbox | ARX deidentifier | Foolbox | PyRIT | Adversarial_ml_ctf | ||
| model-scanner | Patronus | advai-versus | modelscan | Protect AI Platform (Guardian / Layer / Recon) | AugLy | Garak | ModelScan | Raze_to_the_ground_aisec23 | Advertorch | |||
| Mindgard Platform | CalypsoAI Platform | Apex AI Security | Aim Security Platform | Securiti Data Command Center (AI Security) | Awesome-MLSecOps | Giskard | NB Defense | Safetensors | Advmlthreatmatrix | |||
| TestSavantAI | TensorOpera AI Platform | Pillar Security Platform | Wiz AI-SPM | Cobalt AI Security Automation | CleverHans | Knockoffnets | Guardrails | Stealing_DL_Models (Copycat CNN) | Ai-exploits | |||
| Superblocks LLM Security Controls | Genta Secure LLM Architecture Services | MLSecOps.com Community Platform | Securiti LLM Firewall | DamnVulnerableLLMProject | LintML | OpenAttack | Tensorflow Model-analysis | AiGoat | ||||
| Deep-pwning | ML_security_study_map | Pallms | TensorFlow Privacy | AnonLLM | ||||||||
| Differential-privacy-library | MLSploit | Privacy Meter | TextAttack | ART(Adversarial-robustness-toolbox) | ||||||||
| Fml-security | Model-Inversion-Attack-ToolBox | PromptInject | TextFooler | Vger | ||||||||
| Vigil-llm | Watchtower | Аudit-ai | awesome-security-for-ai | Rebuff | ||||||||
| NeMo Guardrails | Purple Llama Llama Guard | Purple Llama Prompt Guard | Purple Llama Code Shield | CyberSecEval | ||||||||
| CodeGate | Sigstore (cosign для ML) | OpenSSF Scorecard | Metaflow | AIShield Watchtower | ||||||||
| Vigil | LLAMATOR | ModelScan (расширенный профиль) | ||||||||||