Forrester Wave: SAST Static Application Security Testing

Forrester Wave: SAST Static Application Security Testing. Os 11 provedores mais importantes e como eles se comparam.

As soluções SAST são essenciais para entrega rápida e segura de códigos

O advento da nuvem, dos contêineres, dos microsserviços, do DevOps e das plataformas de baixo código acelerou o desenvolvimento e a implantação do código na produção, mas não garantiu que o código fosse seguro. Os programadores se formam nas melhores universidades do mundo sem a necessidade de fazer cursos de codificação segura ou design de aplicativos seguros. Além disso, novas linguagens de programação e tecnologias de implantação trazem novos desafios de segurança. Mas desacelerar o desenvolvimento para permitir que a segurança se atualize não é uma opção quando as experiências e ofertas digitais são diferenciais importantes para as empresas. Portanto, os líderes de segurança e desenvolvimento buscam soluções de testes de segurança de aplicativos estáticos para encontrar, priorizar e ajudar a corrigir rapidamente pontos fracos de segurança em código proprietário, integrando-se perfeitamente aos fluxos de trabalho do desenvolvedor.

Como resultado destas tendências, os clientes SAST devem procurar fornecedores que:

  • Aumente a velocidade do desenvolvedor. As ferramentas SAST devem fornecer resultados rápidos e acionáveis aos desenvolvedores por meio de integrações nativas com repositórios de código, ferramentas de construção, pipelines de integração/entrega contínua (CI/CD) e ambientes de desenvolvimento integrados (IDEs). As soluções SAST que buscam fornecer a cobertura mais completa tendem a tempos de verificação mais longos e taxas de falsos positivos mais altas, o que se torna pontos de discórdia entre as equipes de segurança e de desenvolvimento. Procure soluções SAST de baixo ruído criadas para varredura SDLC inicial que possam realizar análises ou fornecer mais profundidade posteriormente no ciclo de vida de desenvolvimento.
  • Proteja tecnologias novas e emergentes. As ferramentas SAST sempre tiveram que acompanhar a programação nova e amplamente difundida. Plataformas de baixo código, como OutSystems, que permitem que desenvolvedores cidadãos escrevam aplicativos e infraestrutura como código (IaC), fornecem aos engenheiros de DevOps a capacidade de padronizar a infraestrutura em nuvem e impulsionar soluções SAST para ampliar seu suporte além da definição tradicional de “código”. Além disso, a proliferação de APIs para fornecer experiências digitais e codificadores TuringBot, como ChatGPT e Amazon CodeWhisperer, aumentam a quantidade de código que as organizações devem proteger rapidamente. Procure ferramentas SAST que possam dar suporte à sua base tecnológica atual e que tenham um histórico de inovação para formas de código novas e futuras.
  • Automatize o processo de correção. Encontrar pontos fracos de segurança é apenas uma pequena parte do valor de uma solução SAST. A tarefa mais importante, sem dúvida, é ajudar os desenvolvedores a corrigir falhas e, assim, reduzir o risco de violação. Soluções SAST que fornecem exemplos de código e links para treinamento prático e interativo são essenciais. Mas os desenvolvedores há muito sofrem com os resultados do SAST que pressupõem um certo nível de conhecimento de segurança. Com a IA generativa, as soluções SAST estão incorporando recursos de chatbot que explicam as descobertas ou fornecem conselhos de correção. As ferramentas SAST mais avançadas estão gerando correções automatizadas para código proprietário: a capacidade definitiva para reduzir o tempo médio de correção.

Resumo da avaliação

A avaliação Forrester Wave™ destaca líderes, fortes desempenhos, concorrentes e desafiadores. É uma avaliação dos principais fornecedores do mercado; não representa todo o cenário do fornecedor. Você encontrará mais informações sobre esse mercado em nosso relatório sobre O cenário de testes de segurança de aplicativos estáticos, segundo trimestre de 2023.
Pretendemos que esta avaliação seja apenas um ponto de partida e incentive os clientes a visualizar as avaliações dos produtos e adaptar as ponderações dos critérios usando a ferramenta de comparação de fornecedores baseada em Excel (ver Figuras 1 e 2). Clique no link no início deste relatório em Forrester.com para baixar a ferramenta.

Figure 1 – Forrester Wave™: Static Application Security Testing, Q3 2023
Figure 2 – Forrester Wave™: Static Application Security Testing Scorecard, Q3 2023

Ofertas de fornecedores

A Forrester avaliou as ofertas listadas abaixo (veja a Figura 3).

Perfis de fornecedores

Nossa análise revelou os seguintes pontos fortes e fracos de fornecedores individuais.

Líderes

A Veracode se diferencia com relatórios, remediação e uma abordagem programática. A análise SAST da Veracode faz parte de uma plataforma de software como serviço (SaaS) que inclui testes dinâmicos de segurança de aplicativos (DAST), análise de composição de software (SCA), verificação de contêiner e IaC e treinamento de desenvolvimento. É o único fornecedor nesta avaliação a obter a certificação FedRAMP e StateRAMP. A visão futura da Veracode é reduzir a carga de desenvolvimento e, ao mesmo tempo, fornecer segurança com uma visão de 360 graus do cenário de risco do aplicativo. Isso se traduz em um roteiro interessante com recursos alimentados por IA para prevenção de falhas, correção automatizada, priorização inteligente e correlação cruzada de verificações de testes de segurança de aplicativos (AST). A Veracode mostra uma cultura de inovação que inclui hackathons semestrais e prêmios de patentes para funcionários, e possui serviços sólidos que permitem às empresas dimensionar programas de segurança de aplicativos. O produto SAST tem preço por aplicativo ou por projeto — ou como um modelo de plataforma com vários produtos. O recurso Veracode Fix é um complemento.

Veracode

O Veracode possui vários painéis prontos para uso que abrangem uma ampla variedade de métricas e KPIs, incluindo taxa fixa, tendências de segurança e conformidade com políticas. Reportar é um ponto forte. Os recém-adicionados relatórios de benchmarking de pares fornecem às organizações pontos de referência para seus programas de segurança de aplicativos. Como observou um cliente de referência: “As métricas são excelentes”. Para os desenvolvedores, o Veracode Greenlight fornece feedback em tempo real à medida que os desenvolvedores codificam no IDE e evita que novas falhas sejam cometidas. Veracode Fix é uma inovação notável que utiliza IA generativa para gerar automaticamente correções para uma descoberta. Esta ferramenta ficará ainda mais poderosa quando integrada ao produto Veracode. A detecção de segredos e as verificações incrementais são pontos fracos. Embora a verificação do pipeline seja mais rápida, “faltam as aprovações já triadas”, de acordo com a referência de um cliente. O Veracode é ideal para empresas que buscam implementar e dimensionar um programa abrangente de segurança de aplicativos.

Synopsys

A Synopsys aplica o poder do SAST maduro para fornecer resultados acionáveis. Coverity, solução SAST da Synopsys, analisa o código-fonte para oferecer segurança e qualidade de código. O preço da cobertura é por membro da equipe e inclui digitalização IaC e plug-ins Code Sight IDE. O Software Risk Manager, uma ferramenta de gerenciamento de postura de segurança de aplicativos, é um complemento da compra do SAST, mas é necessário para acessar os recursos de geração de relatórios, priorização e triagem que avaliamos. A plataforma Synopsys Polaris SaaS oferece SAST e SCA a um preço por aplicativo. O portfólio de consultoria e serviços ao cliente da Synopsys inclui avaliação do programa de segurança Building Security In Maturity Model (BSIMM), modelagem de ameaças, serviços de pentest e equipe de suporte global. O roteiro voltado para o futuro aproveita IA/ML para oferecer suporte a APIs e estruturas proprietárias dos clientes, orientar a correção e validar as melhores práticas de segurança em código gerado por IA.

Coverity

Coverity oferece análise de varredura nativa, de alta confiança e de alto impacto para fornecer apenas os resultados mais acionáveis aos desenvolvedores. Os profissionais de segurança que desejam cobertura completa e têm maior tolerância a falsos positivos podem acessar a análise por meio de uma configuração de verificação. O Software Risk Manager centraliza os resultados de todos os tipos de verificação e resultados de outros fornecedores. Os profissionais de segurança usam a ferramenta para determinar os problemas de maior prioridade em seus portfólios e eliminar possíveis falsos positivos aplicando opções de filtro como política, idade, status predicado e uma classificação de confiança de ML com base no histórico de triagem. Os verificadores personalizados também ajudam a Coverity a manter sua “taxa de alarmes falsos muito baixa”, como disse uma referência de cliente. Mas as velocidades de varredura não atendem às expectativas dos desenvolvedores e são um problema para os clientes de referência. As empresas que precisam escalar e buscam segurança, qualidade de código e conformidade devem verificar o Coverity.

Checkmarx

Checkmarx One destaca os pontos fortes das políticas e cobertura. A Checkmarx começou como fornecedora especializada em SAST e cresceu para oferecer um portfólio de testes de pré-lançamento. A nova plataforma em nuvem Checkmarx One aprimora os diferentes tipos de digitalização para uma história “melhor juntos”. Os clientes podem escolher entre uma variedade de opções de implantação em nuvem, mas a oferta local não inclui os recursos do Checkmarx One. Os preços de produtos e serviços atendem à maturidade e aos requisitos de negócios de cada cliente, mas a flexibilidade gera complexidade, e a classificação entre as inúmeras opções é demorada. No entanto, vale a pena pela inovação que a Checkmarx proporciona para garantir tecnologias de desenvolvimento emergentes. O roteiro inclui suporte à plataforma de baixo código, suporte à segurança de aplicativos nativos da nuvem e um plug-in ChatGPT para detectar vulnerabilidades potenciais em código gerado por IA.

Os clientes obtêm retorno rápido com a plataforma Checkmarx One. Os repositórios de código-fonte podem ser integrados com apenas alguns cliques; as predefinições e consultas padrão fornecem resultados rápidos e precisos prontos para uso; e o painel de gerenciamento de riscos elimina o debate sobre o que corrigir em seguida. O melhor local de correção identifica onde a correção de uma linha de código pode corrigir muitas vulnerabilidades de uma só vez. No entanto, Checkmarx não oferece correção automatizada. A segurança da API utiliza SAST para inventariar APIs e identificar APIs sombra e zumbis. O novo construtor de consultas de IA da Checkmarx One orienta os clientes que usam IA generativa para criar suas próprias consultas personalizadas. Um cliente de referência observou: “Há uma grande variedade de conjuntos de regras nativos para diferentes idiomas e é bastante fácil personalizá-los para nossos próprios padrões/políticas”. Checkmarx é adequado para empresas de médio a grande porte que utilizam tecnologia emergente em seu desenvolvimento de software.

Desempenho Forte

HCLSoftware

A HCLSoftware tem alcance global, mas deve reforçar as orientações de remediação para os desenvolvedores. O portfólio HCL AppScan consiste em soluções SAST, DAST, testes interativos de segurança de aplicativos (IAST) e SCA. A abordagem de implantação em qualquer lugar da HCLSoftware garante uma experiência unificada e nativa da nuvem, independentemente do modelo de implantação na nuvem. A oferta SAST inclui segurança IaC, verificação de segredos e integrações DevOps. O programa de parceria global da HCLSoftware, o suporte técnico em idiomas locais e o suporte ao produto em idiomas como chinês e japonês são componentes de uma oferta global diferenciada. A visão de integrar o SAST em todas as ferramentas de desenvolvimento não é única, mas a HCLSoftware se destaca com excelentes integrações ao gerenciamento de código-fonte, CI/CD e gerenciamento de problemas. O roteiro está no mesmo nível de outros fornecedores nesta avaliação, com planos para melhorar a velocidade, cobertura, precisão, relatórios e correlação de resultados das ferramentas AST.

HCL AppScan tem a maior cobertura de linguagens e estruturas, incluindo Rust, Dart e ABAP. Além disso, o recurso “traga seu próprio idioma” do HCL AppScan atende a qualquer necessidade do cliente. Muitas políticas, regras e personalizações prontas para uso são possíveis. Os usuários podem escolher a velocidade da varredura versus a cobertura ao criar uma varredura. Os resultados são transmitidos para a plataforma HCL AppScan e o painel mostra o progresso da verificação. O ML identifica grupos de correções em uma chamada de API ou biblioteca que abordará várias descobertas simultaneamente. Mas a orientação de remediação é genérica e não está de acordo com os Líderes nesta avaliação, o que foi confirmado pelos clientes de referência. Os plug-ins do HCL AppScan IDE também precisam de atenção; a IU está desatualizada e não intuitiva. Os plug-ins CodeSweep IDE oferecem uma experiência de usuário melhor, mas verificam apenas um único arquivo. As empresas com presença global, especialmente na Ásia-Pacífico, devem considerar o HCL AppScan em suas avaliações.

Snyk

Snyk fornece as ferramentas aos desenvolvedores, mas as inconsistências dos produtos prejudicam a experiência. Snyk é bem conhecido por sua abordagem voltada para o desenvolvedor em relação à segurança de aplicativos. Snyk construiu práticas avançadas de desenvolvimento, segurança e operações (DevSecOps) por meio de sua forte comunidade DevSec. Snyk Code, sua oferta AI/ML SAST, faz parte de sua plataforma de segurança para desenvolvedores, com preço por desenvolvedor. Por meio de investimentos internos, aquisições e parcerias tecnológicas estratégicas (por exemplo, StackHawk, Sysdig), a Snyk é frequentemente uma das primeiras a comercializar recursos e produtos inovadores. Por exemplo, o recurso DeepCode AI Fix gera correções de JavaScript no VS Code. O suporte para IDEs e idiomas adicionais está no roteiro. Personalizações de regras, análises empresariais e priorização de resultados SAST usando contexto de nuvem também estão em andamento.

A experiência superior de desenvolvedor de Snyk com resultados rápidos e acionáveis; facilidade de integração; e ótimos conselhos de correção permitem que os desenvolvedores corrijam problemas com suporte mínimo de segurança. Como atestam clientes de referência, ao contrário de outras ferramentas, “Snyk faz um trabalho tão excelente que recebo muito poucas perguntas dos desenvolvedores sobre por que uma vulnerabilidade é importante e como corrigi-la”. E: “Os plug-ins IDE ajudam o desenvolvedor a tomar melhores decisões durante a codificação.” Mas Snyk luta com inconsistências na paridade de recursos. Por exemplo, clientes de referência encontram discrepâncias de resultados entre a interface de linha de comando (CLI) e o portal da web; atualizações para idiomas menos populares demoram mais para serem implementadas; e os relatórios carecem de uma API unificada e de relatórios prontos para uso. Dito isto, Snyk tem um bom histórico de resposta aos clientes. As organizações que desejam envolver desenvolvedores, corrigir descobertas e integrar a segurança aos fluxos de trabalho de DevOps devem considerar adicionar o Snyk Code aos seus programas de segurança de aplicativos.

OpenText

A recente aquisição da Micro Focus pela OpenText deixa o futuro do Fortify incerto. A OpenText adquiriu a família de produtos CyberRes Fortify da Micro Focus em 2022. Os recursos SAST do Fortify estão disponíveis em três modelos de consumo: como serviço, nuvem privada/hospedada e local. Avaliamos as ofertas locais e de nuvem privada/hospedada para este relatório (Fortify on Demand, sua oferta de SaaS, é separada). Fortify tem uma visão e um roteiro sólidos. O fornecedor está desenvolvendo um novo mecanismo SAST projetado para acelerar o suporte a linguagens e estruturas, reduzir tempos de varredura e lidar com algoritmos de última geração, como contratos inteligentes e análise de fluxo de dados IaC. Gerenciamento de postura do aplicativo sec; remediação automatizada; e a correlação dos resultados SAST, DAST e SCA também estão planejadas. É muito cedo para dizer se o OpenText irá reforçar a inovação de produtos do Fortify, que ficou para trás em comparação com outros nesta avaliação.

O Fortify Software Security Center (SSC) é um painel central para todos os tipos de verificação e oferece diversas maneiras de ajustar a verificação. Audit Assistant é um recurso que usa ML para reduzir falsos positivos com base no comportamento de triagem anterior do cliente. Uma configuração de precisão de digitalização permite que os usuários troquem a qualidade da digitalização pela velocidade da digitalização. As escolhas de políticas filtrarão resultados ruidosos para fluxos de trabalho de DevOps. Os profissionais de segurança de aplicativos podem visualizar os resultados no SSC, mas devem usar o Audit Workbench, uma ferramenta de desktop, para fazer uma triagem e priorizar falhas de maneira eficaz. Workbench é uma das várias ferramentas e sistemas necessários para gerenciar o Fortify, cuja referência os clientes confirmaram que leva a uma experiência de usuário desatualizada. Clientes de referência gostam da ampla cobertura linguística; o suporte para mais de 30 idiomas é um ponto forte. O Fortify é uma boa solução para empresas que precisam de uma ferramenta local ou de nuvem privada que ofereça ampla cobertura de idiomas e controles refinados.

Concorrentes

GitLab

GitLab é uma plataforma DevOps, mas seus recursos carecem de profundidade SAST. GitLab é uma plataforma de código aberto com uma comunidade global e engajada de colaboradores. GitLab oferece opções de implantação autogerenciada e SaaS. Sua visão de ajudar os desenvolvedores a encontrar problemas de segurança antecipadamente e remediá-los nos fluxos de trabalho de DevOps é importante, mas desatualizada em relação a outras que avaliamos. O preço é online e transparente. A versão Ultimate inclui ferramentas de teste de segurança, educação em segurança para desenvolvedores e um painel de segurança. O gerenciamento do fluxo de valor, a conformidade e o gerenciamento de portfólio também fazem parte do Ultimate, tornando-o uma vitória para desenvolvimento, segurança e operações. O GitLab tem um bom suporte técnico, mas faltam serviços do programa de segurança de aplicativos. A plataforma aberta do GitLab promove um forte ecossistema de parceiros de nuvem, tecnologia e parceiros de vendas. O roteiro inclui descobertas SAST em visualizações de diferenças de solicitações de mesclagem, expansão de detecção de segredos e aprimoramentos de políticas.

Automatizar o SAST no pipeline de CI/CD do GitLab é fácil; verificações são executadas em solicitações de mesclagem; e os desenvolvedores recebem feedback rápido sobre seu código. Os clientes de referência não observam barreiras reais ao uso do produto e que foram produtivos em “menos de 3 horas”. As descobertas estão vinculadas ao treinamento Kontra, SecureFlag e Secure Code Warrior. As orientações de remediação são fracas, mas o novo recurso de IA generativa, “explicar esta vulnerabilidade”, criado em parceria com o Google Cloud Platform, fornece uma compreensão enriquecida do problema e de como ele pode ser explorado. Semgrep é o scanner de código aberto subjacente para a maioria dos idiomas. Os clientes podem adicionar suas próprias regras e os clientes de referência apreciam as “atualizações constantes nos conjuntos de regras SAST”. Mas os relatórios são um ponto fraco. E o GitLab oferece suporte apenas ao seu ecossistema, o que se reflete nas baixas pontuações do fluxo de trabalho DevSecOps. A edição GitLab Ultimate é uma ótima maneira de começar a integrar segurança ao DevOps.

Github

O GitHub coloca conselhos de correção nas mãos dos desenvolvedores, mas os recursos de segurança ficam atrasados. GitHub é uma plataforma de desenvolvimento de software e sistema de controle de versão que abriga grande parte do código-fonte aberto do mundo. Segurança Avançada é um complemento do GitHub Enterprise ou Azure DevOps, com preço mensal por desenvolvedor contribuinte. Inclui Dependabot, verificação de segredos e CodeQL, sua ferramenta SAST. Mudar da localização e correção de falhas para a escrita de código seguro é uma visão antiga, mas agora indistinta neste mercado. O GitHub tem um histórico de inovação – a ferramenta de codificação generativa de IA Copilot é um exemplo – mas a inovação do CodeQL ficou atrás de outros fornecedores nesta avaliação. Dito isto, o seu futuro parece promissor. Os destaques do roteiro incluem correção automática baseada em IA em solicitações pull, correções proativas para alertas existentes, pacotes de modelos para permitir que qualquer pessoa adicione novas estruturas, detecção de segredos de baixa confiança e ativação com um clique para todos os recursos de segurança.

A verificação de segredos é um diferencial para o GitHub. Quando a proteção push está habilitada, novos segredos são bloqueados na base de código. Os clientes podem adicionar regras para segredos e verificação CodeQL. Fornecer orientação de correção e exemplos de codificação em solicitações pull e VS Code permite que os desenvolvedores corrijam problemas antes que o código seja enviado para o downstream, o que é um ponto forte. Um cliente de referência observou: “Houve muito poucas perguntas dos desenvolvedores, enquanto as descobertas foram corrigidas. Estamos interpretando isso como um sinal de quão boas são as explicações fornecidas.” O relatório de riscos de segurança é limitado à porcentagem de repositórios verificados e ao número de alertas abertos por gravidade. Um relatório resumido do projeto só pode ser criado por meio das APIs. A integração de repositórios também é um esforço manual. GitHub Advanced Security é uma boa opção para organizações de médio porte que usam GitHub Enterprise ou Azure DevOps que possuem uma equipe de DevOps para dar suporte à implementação.

SonarSource

SonarSource atrai desenvolvedores, mas faltam recursos empresariais. SonarSource é uma solução de teste de qualidade e segurança de código. SonarQube é a versão local e tem preço por instância por ano e é baseado em linhas de código digitalizadas, com três níveis comerciais, incluindo uma edição comunitária. SonarLint está disponível como um plug-in IDE independente e gratuito. Muitos desenvolvedores usaram o Sonar graças às suas raízes de código aberto como uma ferramenta de qualidade de código. Sua visão de mudança para a esquerda é uma aposta decisiva para o SAST. A Sonar está inovando com o desenvolvimento de seu próprio mecanismo SAST, com foco em resultados rápidos e de alta confiança e análise aprimorada de código-fonte usando uma base de conhecimento de bibliotecas de código aberto para fornecer uma verificação mais abrangente. O roteiro se concentra em itens de atualização em comparação com outros nesta avaliação, incluindo suporte para idiomas adicionais, integrações de ecossistemas, relatórios de conformidade e relatórios de licenças de terceiros.

SonarSource possui um catálogo de regras para bugs, cheiros de código (problemas de manutenção), vulnerabilidades e pontos de acesso de segurança (possíveis problemas de segurança) para cada linguagem que os clientes podem adicionar. As portas de qualidade são um ponto forte do Sonar, pois os clientes podem optar por falhar em uma mesclagem com base em todos os problemas, novo código ou limitação a um idioma específico. Mas para agir de acordo com as descobertas, os desenvolvedores são direcionados de volta à IU. O Sonar faz um ótimo trabalho ao colocar as descobertas na linguagem do desenvolvedor, e o código e os exemplos de correção são baseados na estrutura detectada. Os clientes fazem referência às “instruções de remediação” do Sonar, mas observam que as integrações em repositórios de código exigem esforço manual. Além disso, os relatórios e o gerenciamento de políticas para gerenciar um programa de segurança de aplicativos estão abaixo da média em comparação com outros nesta avaliação. Para equipes de desenvolvimento que buscam escrever código limpo e corrigir problemas comuns de segurança no início do ciclo de vida, o SonarQube é uma boa opção.

Desafiadores

Perforce

O software Perforce é excelente em segurança e conformidade, mas a IU precisa de uma atualização. As apostas são altas para os clientes da Perforce, que normalmente desenvolvem infraestrutura crítica, comunicações, carros conectados, defesa, aeroespacial e sistemas médicos. Perforce Static Analysis é uma ferramenta de segurança e qualidade de código que oferece suporte a várias opções de implantação. O preço é tudo menos simples e transparente. O software básico inclui integrações de desenvolvimento, suporte para uma linguagem de programação e um padrão de codificação. Linguagens adicionais, padrões de codificação e análise diferencial são complementos. A Perforce inova para clientes em setores altamente regulamentados que estão em transição para DevOps e não podem se dar ao luxo de quebrar coisas enquanto avançam rapidamente. O roteiro reflete isso com uma cobertura mais profunda de padrões de segurança e proteção, integrações de CI/CD e priorização alimentada por IA/ML, avaliação de riscos e remediação orientada.

A Perforce possui a melhor cobertura nativa para padrões de segurança entre os provedores avaliados. Os clientes de referência apreciam o suporte para AUTOSAR e MISRA. O Perforce tem suporte a idiomas limitado, mas mantém uma extensa lista de regras e, embora a detecção de segredos seja limitada, os clientes podem criar suas próprias regras. A interface do usuário Validate permite que os usuários percorram o código-fonte e as informações detalhadas de rastreamento para obter descobertas de verificação e revelar outros fluxos de código com o mesmo problema. Mas Validar está desatualizado. As integrações de ferramentas de desenvolvimento redirecionam de volta para a IU ou ocultam as orientações de correção, resultando em experiências ruins para o desenvolvedor, conforme observado pelos clientes de referência. Os clientes automotivos têm bases de código muito grandes com vários fluxos para dar suporte a cada cliente. O Perforce Static Analysis é um dos poucos produtos que pode lidar com essa complexidade e com os relatórios de conformidade correspondentes. Perforce é uma boa escolha para empresas que desenvolvem sistemas de missão crítica e devem priorizar a segurança e a conformidade.

Contrast

A ferramenta SAST de funcionalidade limitada da Contrast Security está em um ano de construção. A Contrast Security, mais conhecida como fornecedora de IAST, adicionou uma solução SAST há dois anos. Forte defensor do IAST como principal ferramenta de segurança de aplicativos, a Contrast pretende que a solução SAST preencha as lacunas de linguagens ou estruturas que o IAST não cobre, além de ajudar os clientes a atender a determinados requisitos de conformidade. O Contrast também fornece proteção na produção com sua ferramenta Runtime Application Security Protection. A visão da Contrast – tornar-se um ponto central onde qualquer tipo de teste de segurança ou proteção de aplicativos possa ser feito em sua plataforma – não é diferenciadora. O SAST está incluído na oferta Detect que inclui IAST e SCA. A oferta que avaliamos oferece suporte a cinco linguagens de programação. A Contrast está em processo de rearquitetura de sua solução SAST com planos de relançá-la para suportar mais de 25 idiomas.

O scanner binário Java atual analisa o fluxo de dados e a análise do fluxo contaminado. A varredura de código-fonte é usada para outras linguagens de programação suportadas. Os clientes podem fazer upload de arquivos diretamente para a UI, digitalizar localmente em um contêiner docker ou usar uma CLI. A integração com GitHub está disponível, mas os clientes que desejam integrar em IDEs, ferramentas de construção e CI/CD precisarão criar scripts do processo usando a CLI. Os clientes podem baixar CSV e JSON para um relatório de verificação, mas essa é a extensão dos recursos de relatórios e análises. A oferta SAST da Contrast é melhor para organizações que já usam sua oferta IAST e procuram um relatório SAST. A Contrast Security recusou-se a participar do processo completo de avaliação do Forrester Wave.

Visão geral da avaliação

Agrupamos nossos critérios de avaliação em três categorias de alto nível:

Oferta atual. A posição de cada fornecedor no eixo vertical do gráfico do Forrester Wave indica a força de sua oferta atual. Os principais critérios para essas soluções incluem detecção, remediação, relatórios, amplitude de cobertura, gerenciamento de regras e políticas, fluxos de trabalho DevSecOps e atenção à segurança do produto.

Estratégia. A colocação no eixo horizontal indica a força das estratégias dos fornecedores. Avaliamos visão, inovação, roteiro, ecossistema de parceiros, flexibilidade e transparência de preços, comunidade e serviços e ofertas de suporte.

Presença no mercado. Representadas pelo tamanho dos marcadores no gráfico, nossas pontuações de presença no mercado refletem a receita do produto e o número de clientes de cada fornecedor.

Critérios de inclusão de fornecedores

Cada um dos fornecedores incluídos nesta avaliação tem:

Uma ferramenta SAST abrangente e de classe empresarial. Todos os fornecedores nesta avaliação oferecem uma variedade de recursos SAST adequados para desenvolvedores e profissionais de segurança. Exigimos que os fornecedores avaliados tivessem a maioria dos seguintes recursos prontos para uso: código-fonte ou verificação binária com amplo suporte a idiomas; verificação estática de APIs e arquivos IaC; portões de qualidade; gestão de políticas; comunicando; remediação; e integrações com ferramentas de desenvolvedor, como IDEs, ferramentas de construção e sistemas de rastreamento de defeitos.
US$ 35 milhões ou mais em receita SAST. Todos os fornecedores nesta avaliação obtiveram US$ 35 milhões ou mais em receita global diretamente do produto SAST, com não mais que 90% da receita atribuída a uma única região.
Interesse ou relevância para clientes da Forrester. Os clientes da Forrester frequentemente discutem os fornecedores e produtos avaliados durante consultas, entrevistas e pesquisas. Alternativamente, na opinião da Forrester, um fornecedor avaliado pode ter justificado a inclusão devido às suas capacidades técnicas e presença no mercado.

Fonte: Synopsys

Veja também:

Sobre mindsecblog 2432 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

7 Trackbacks / Pingbacks

  1. A intolerável assimetria DDoS — e como superá-la
  2. Check Point detecta nova campanha de typosquatting no PyPI
  3. Seguro cibernético: consultoria revela dicas importantes
  4. As empresas correm o risco de falhas de conformidade
  5. hacktivismo é a principal razão para aumento de ataques DDoS
  6. O papel do CISO para transformar a cibersegurança
  7. Incidentes operacionais e de TI estão no topo dos riscos

Deixe sua opinião!