Зарубежные вендоры
Список фокусируется на самых известных AppSec‑вендорах (SAST/DAST/SCA/IAST/RASP/ASPM) и носит справочный характер.
| Вендор | Инструмент | Описание вендора | Официальный сайт |
|---|---|---|---|
| Veracode | Veracode Static Analysis (SAST) | Облачный SAST‑сервис как часть единой AppSec‑платформы: анализирует исходный и байткод для широкого набора языков, даёт рекомендации по исправлению и хорошо интегрируется в CI/CD. | veracode.com |
| Veracode Dynamic Analysis (DAST) | Динамическое тестирование web‑ и API‑приложений как SaaS: имитация атак, поиск уязвимостей в рантайме, в том числе для сложных микросервисных архитектур. | Dynamic | |
| Veracode Software Composition Analysis (SCA) | SCA‑модуль для анализа open‑source компонент, генерации SBOM и управления лицензионными рисками. Использует ML для дополнения NVD «тихими» фикcами. | SCA | |
| Veracode Interactive Analysis (IAST) | IAST‑агент для приложений, дающий детальный контекст уязвимостей в ходе реального выполнения кода, снижая шум и ускоряя исправление. | IAST | |
| Veracode Penetration Testing | Услуги ручного пентестинга, интегрированные в портал Veracode: дополняют автоматизированные AST‑проверки для критичных систем и сложных логических уязвимостей. | PT | |
| Checkmarx | Checkmarx One SAST | Флагманский SAST‑движок платформы Checkmarx One: ориентирован на разработчиков, поддерживает множество языков и даёт быстрый фидбэк прямо в IDE и CI/CD. | checkmarx.com |
| Checkmarx SCA | Модуль Software Composition Analysis: поиск уязвимостей и лицензионных рисков в OSS‑зависимостях, supply‑chain‑контроль, интеграция с DevOps‑пайплайнами. | SCA | |
| Checkmarx DAST | DAST‑решение для динамического сканирования web‑приложений и API, интегрированное в Checkmarx One и CI/CD, с управлением рисками и маппингом на комплаенс. | DAST | |
| Checkmarx ASPM | Application Security Posture Management: коррелирует результаты SAST, SCA, IaC‑сканирования и секрет‑детекции, давая единый приоритизированный вид рисков. | ASPM | |
| Checkmarx One Assist (AI) | AI‑ассистент, помогающий разработчикам исправлять уязвимости по результатам сканов, даёт подсказки по secure‑coding прямо в IDE. | Assist | |
| Black Duck (Synopsys) | Coverity SAST | Промышленный SAST‑инструмент для больших и сложных кодовых баз (C/C++, Java, C#, др.), известен высокой точностью и глубиной анализа. | blackduck.com |
| Black Duck SCA | Один из самых известных инструментов SCA: глубоко анализирует open‑source зависимости и лицензии, активно используется в enterprise‑сегменте. | SCA | |
| WhiteHat Dynamic (DAST) | Сервис динамического тестирования web‑приложений и API, ранее известный как WhiteHat Sentinel, теперь входящий в портфель Black Duck. | DAST | |
| Seeker IAST | IAST‑решение, работающее в рантайме и дающее детальный контекст уязвимостей (источники/приёмники данных, реальные трассы выполнения). | IAST | |
| Defensics Fuzzing | Платформа протокольного fuzz‑тестирования для проверки устойчивости сетевых и файловых протоколов, IoT и встроенных систем. | Defensics | |
| HCL AppScan | AppScan Enterprise | Корпоративная платформа Application Security Testing, объединяющая SAST, DAST, IAST и управление рисками/комплаенсом для большого портфеля приложений. | hcltechsw.com/appscan |
| AppScan 360º | Cloud‑native платформа для непрерывной безопасности в DevSecOps, включая развертывание on‑prem/private cloud и интеграцию с современными пайплайнами. | AppScan 360 | |
| AppScan Source (SAST) | Модуль статического анализа для широкого набора языков и фреймворков, интегрируемый с IDE и CI. | Source | |
| AppScan Standard (DAST) | Интерактивный инструмент DAST для сканирования web‑приложений и сервисов, популярный у pentest‑ и QA‑команд. | Standard | |
| CodeSweep | Лёгкий сканер уязвимостей в IDE (VS Code, JetBrains и др.), позволяющий разработчикам находить проблемы при написании кода. | CodeSweep | |
| Fortify (OpenText) | Fortify Static Code Analyzer (SCA) | SAST‑движок, один из старейших на рынке: поддерживает множество языков, богатый набор правил и глубоко интегрируется в enterprise‑SDLC. | opentext.com/fortify |
| Fortify WebInspect | DAST‑инструмент для автоматизированного динамического сканирования web‑приложений, включая сложную аутентификацию и бизнес‑логики. | WebInspect | |
| Fortify on Demand | SaaS‑платформа для SAST/DAST‑тестирования и управления уязвимостями, предоставляющая экспертизу и аудит результатов. | FoD | |
| Fortify Software Security Center | Центральная консоль для агрегирования результатов сканирования, управления политиками и отчётности по приложенческой безопасности. | SSC | |
| Fortify Audit Workbench | Инструмент для ручной ревизии и triage результатов SAST/DAST, используемый AppSec‑инженерами и аудиторами. | Fortify | |
| Invicti Security | Invicti Enterprise | Облачная/серверная платформа DAST + API‑security с proof‑based scanning, акцентом на автоматическую верификацию уязвимостей и масштабируемую интеграцию в CI/CD. | invicti.com |
| Acunetix | Web‑сканер уязвимостей (DAST) для web‑приложений и сайтов, удобен для средних команд и пентестеров, поддерживает широкий спектр уязвимостей. | acunetix.com | |
| Invicti Standard | Десктоп/standalone версия сканера для локального использования и пентестов, с тем же ядром, что и Enterprise. | Standard | |
| Invicti API Security | Модуль для углублённого сканирования REST/SOAP/gRPC‑API, включая авторизованные и stateful‑сценарии, с обнаружением логических багов. | API | |
| Invicti AI | AI‑надстройки для расширенного логина, заполнения форм, анализа результатов и рекомендаций по устранению уязвимостей. | Invicti AI | |
| Contrast Security | Contrast Assess (IAST) | IAST‑решение, встраивающееся в приложение и дающее детальный контекст уязвимостей в реальном времени, с низким уровнем ложных срабатываний. | contrastsecurity.com |
| Contrast Protect (RASP) | RASP‑решение для защиты приложений в рантайме: блокирует реальные атаки изнутри приложения без изменения кода. | Protect | |
| Contrast SCA | Анализ open‑source зависимостей, тесно интегрированный с IAST/RASP, позволяет видеть реальное использование уязвимых компонентов. | SCA | |
| Contrast Scan (SAST) | Облачный SAST‑движок, ориентированный на разработчиков и DevOps‑интеграции. | Scan | |
| Contrast Serverless | Решение для защиты и наблюдения за безсерверными (serverless) рабочими нагрузками с учётом специфики FaaS‑платформ. | contrastsecurity.com |