安全工具 2019年顶级应用安全工具

根据威瑞森2018年数据披露调查报告，大多数黑客攻击仍然是通过网络应用程序发起的。基于此，应用程序测试和保护已经成为许多公司的首要任务。如果使用一些选定的应用程序安全工具，这项工作可以更容易地完成。下面，我们将列出2019年最好的应用安全工具，并附上它们最有效的使用场景。

该列表中的信息来源包括:

IT中央站(ITCS)安全应用测试工具列表(2018年9月)，该列表基于ITCS庞大的IT专业社区个人使用体验评分得出。Gartner《应用防护市场指南》(2017年6月)。Gartner《应用安全测试魔力象限》(2018年3月)。持续更新的SecTools网络安全工具125强。虽然是针对网络的安全工具，但其中一些对应用测试也很有效。

此应用安全工具列表包含商业产品和免费工具。没有报价的商业产品往往与供应商的其他产品捆绑在一起，数量大或者订阅时间长都会有折扣。一些免费工具，比如Burp Suite，也有付费版本，提供更多功能。

按字母顺序排列的最佳应用安全工具如下所示:

1.应用保护

该工具可用于运行时应用程序自我保护(RASP)。Arxan应用程序保护可以抵抗逆向工程和代码篡改，尤其是对于移动电话应用程序。

目标用户：高级开发人员应用聚焦：RASP封装：Mac、Windows、安卓、iOS、Linux定价：请联系供应商

2.新思科技出品的黑鸭

黑鸭软件可以在应用程序开发过程中自动实现开源安全和许可证合规性，并可用于检测、监控、缓解和管理整个开源应用程序组合。思思科技一直在收购其他应用安全提供商，如Coverity和Codenomicon。

Gartner魔力象限领导者

目标用户：开源项目开发者应用聚焦：开源应用测试封装：软件即服务(SaaS)定价：现场演示版，请联系供应商

3.斯威格港出品的打嗝套装

Burp套件是一种流行的渗透测试工具集，多年来一直在扩展和增强。HTTP消息的处理和显示，其所有工具的驻留、认证、代理、日志和告警共享同一个框架。付费版本包含更多的手动和自动测试工具，与其他框架(如Jenkins)集成，并有一个记录良好的REST API。

ITCS排名第七

目标用户：高级开发人员应用聚焦：Web应用渗透测试与漏洞扫描器封装：Mac、Windows、Linux、JAR定价：各版本定价不同，有免费版和最高4,000美元/年的付费版，带60天免费试用期

4.CA/Veracode应用安全平台

Veracode提供了一系列安全测试和威胁缓解技术，所有这些都托管在中央平台上，可用于在开发和生产情况下发现漏洞和评估风险。该产品已推出多年，用户基础广泛。成千上万种不同的应用程序使用它进行测试和评估。Veracode的最低安装和完整安装都非常好用，很受用户欢迎。

ITCS排名第一，高德纳魔力象限领导者

目标用户：开发人员应用聚焦：静态及动态代码扫描封装：SaaS定价：联系供应商

5.马克思

Checkmarx提供了一系列应用测试工具，包括静态和动态静态代码分析工具，以及用于分析开源内容的工具。这些工具支持一系列编程语言，应用广泛，可以持续监控应用程序以检测漏洞。该公司收购了Codebashing，并将其集成到自己的软件中，以扩展其安全编码培训功能。

ITCS排名第二，高德纳魔力象限领导者

目标用户：开发人员应用聚焦：静态及动态代码扫描，安全编码培训封装：SaaS和现场定价：联系供应商，免费演示版

6.微焦点生产的强化剂

强化集成开发和测试工具包括SaaS，实时版和移动版，可以提供连续的应用程序监控。虽然企业主管很多，但是来自惠普软件集团的MicroFocus旗下的Fortify工具历史悠久，在安装中应用广泛。Fortify还可以集成到Eclipse IDE和Visual Studio中。

ITCS排名第三，高德纳魔力象限领导者

目标用户：开发人员应用聚焦：静态及移动代码扫描封装：SaaS和现场版定价：15天免费试用，联系供应商

7.IBM安全应用扫描

IBM有很多应用安全软件，包括Security AppScan。有三个版本:源代码版、标准版、企业版。这款软件最著名的一点是可以从人工代码审查、渗透测试甚至竞争对手的软件漏洞扫描器导入多种数据格式，移动版可以扫描iOS和Android应用。

ITCS排名第四，高德纳魔力象限领导者

目标用户：大企业应用聚焦：应用代码扫描，包括移动、静态和动态方法。封装：SaaS和现场定价：30天免费试用，联系供应商

8.流氓波出品的克洛斯作品

Klocwork提供的功能包括静态应用扫描、持续代码集成和代码架构可视化工具，以及针对CERT、CWE和OWASP等各种安全标准的内置检查工具。Klocwork可以标记代码注入、跨站点脚本、内存泄漏和其他脆弱的编码操作。

ITCS排名第九

目标用户：开发人员应用聚焦：静态代码分析器封装：SaaS定价：免费试用

9.Qualys网络应用扫描

Qualys是应用保护市场的资深玩家。Qualys Web App Scanning可以对企业内所有Web应用进行查找和分类，进行动态扫描，报告恶意软件感染，并提供修复代码的方法。该产品是名为云应用的完整产品组合的一部分。云应用每年执行数十亿次扫描，包括基础设施和终端安全工具，并支持其他网络应用防火墙。这些服务有免费的删节版，还有各种免费的SSL网站、证书、浏览器配置的检查工具。

ITCS排名第八

目标用户：Web应用开发人员应用聚焦：动态应用扫描封装：SaaS定价：免费版和30天免费试用版，各种订阅和使用费

10.来自imperva的Prevoty

Prevoty是运行时应用程序自我保护(RASP)的另一个工具，可以抵抗逆向工程和代码篡改，尤其是对于手机应用程序。

目标用户：开发人员应用聚焦：RASP封装：SaaS定价：联系供应商

11.硒

Selenium有一套工具，用于自动测试Web应用程序及其在浏览器中的性能，它与自己的Selenium脚本集成开发环境结合使用。这套工具以浏览器扩展的形式实现，可以记录、编辑和调试测试，也可以记录和重放它们的脚本。Selenium还为检测手机和Web浏览器安全问题的各种插件提供了广泛的第三方支持。

目标用户：应用开发人员应用聚焦：Web应用测试封装：需自备服务器，支持多种编程语言，包括 C#、Ruby和Python定价：免费

12.owasp创建的web山羊

网络山羊是由开放网络应用安全程序(OWASP)创建的一个临时的不安全网络应用。OWASP维护一个关键的网络漏洞列表。WebGoat是一个教学工具，它向用户展示了利用常见漏洞的效果以及避免应用程序中漏洞的必要性。web山羊提供了大量的编码样本和其他技巧，已经在第八版发布了15年。

目标用户：开发人员应用聚焦：代码注入、跨站脚本和不安全凭证等问题的测试封装：JAR文件定价：免费

13.由owasp创建的Zed攻击代理

Zed Attack，也来自OWASP，是开源社区的产物，用来在Web应用的开发阶段自动发现安全漏洞。Zed攻击介于用户的App和浏览器之间，拦截Web流量，检查其中是否有漏洞。

ITCS排名第六

目标用户：开发人员，尤其是开发新手应用聚焦：仅Web应用封装：Windows、Linux、Mac 和 Docker app，要求有 Java 7+定价：免费

威瑞森2018年数据披露调查报告:

https://enterprise.verizon.com/resources/reports/dbir/