gitlab英雄边框图案左svg Gitlab英雄边框模式右svg

GitLab
vs.
Veracode.

决策套件

决策套件

总结

Veracode和Gitlab Ultimate提供开源组件扫描以及静态和动态应用安全测试。Veracode是一个具有余性标签的成熟产新利18骗品。Veracode提供单独的SAST-Lite产品,它集成在开发人员的IDE新利18骗中,提供拼写检查功能,以将漏洞标记为开发人员类型。

Gitlab Ultimate自动包括广泛的安全扫描,每个代码包括静态和动态应用程序安全测试,以及依赖性扫描,容器扫描和许可证管理。

注:2018年11月,私募股权公司Thoma Bravo从Broadcom收购了Veracode。Veracode现在作为Thoma Bravo公司组合中的一个独立公司运作。2017年3月至2018年7月,Veracode成为CA Technologies的一部分。在2018年7月至2018年11月的短暂时间内,Veracode是Broadcom收购CA Technologies后的一部分

与Gitlab的比较

Veracode是应用安全测试(AST)市场中成熟的播放器。虽然它们提供一系列产品,但包括Sast,Dast,IAST和S新利18骗CA,但这些产品中的每一个都分别销售和许可。Gitlab通过包括单一产品中的所有这些类型的扫描功能,提供简单性和高度的集成度。新利18骗此外,Gitlab将扫描结果紧密整合在SLDC的其余部分,包括合并请求审查过程。

此外,那些对使用云托管的扫描解决方案或使用GitLab的自我管理产品感到担忧的组织,会发现GitLab是一个明显的赢家,因为Veracode没有内置产品。

安全扫描

长处和短处

GitLab Veracode.
优势 •与SDLC其余部分的紧密开箱即用集成,包括合并请求审查过程
•Gitlab最近收购桃技术和模糊,提供了Veracode缺乏的模糊功能
•支持内部部署,包括断开连接,脱机或空闲环境
•强大提供扫描类型
•尼斯,干净的UX和设计
•强大提供扫描类型
•与IDE紧密集成
•强大提供扫描类型
•假阳性率优于平均水平
弱点 •GitLab的SAST目前只扫描代码库,不能扫描编译后的二进制文件 •仅作为SaaS工具可用,不能在现场部署
•没有本地集成到合并请求或SDLC中

功能阵容

GitLab Veracode.
斯塔斯
达斯
IAST.
SCA:漏洞扫描
SCA:开源审计
模糊测试
特征比较
特征

静态应用安全测试

Gitlab允许在CI / CD管道中轻松运行静态应用安全测试(SAST);检查应用程序包含的库中易受攻击的源代码或众所周知的安全错误。结果随后显示在Merge Request和Pipeline视图中。此功能可作为一部分提供自动Devops.提供security-by-default。

了解有关静态应用安全测试的更多信息

秘密检测

Gitlab允许您在CI / CD管道中执行秘密检测;检查无意的秘密和凭据。结果随后显示在Merge Request和Pipeline视图中。此功能可作为一部分提供自动Devops.提供security-by-default。

了解更多关于秘密检测

依赖性扫描

Gitlab自动检测应用程序包含的库中的众所周知的安全错误,保护您的应用程序免受影响动态使用的依赖性的漏洞。结果随后显示在Merge Request和Pipeline视图中。此功能可作为一部分提供自动Devops.提供security-by-default。

了解有关依赖扫描的更多信息

动态应用安全测试

一旦应用程序在线,GitLab允许在CI/CD管道中运行动态应用程序安全测试(DAST);您的应用程序将被扫描,以确保XSS或破坏的身份验证缺陷等威胁不会影响它。结果随后显示在Merge Request和Pipeline视图中。此功能可作为一部分提供自动Devops.提供security-by-default。

了解有关容器应用程序安全性的更多信息

交互式应用安全测试

IAST.结合静态和动态应用程序安全测试方法的元素,以提高结果的整体质量。IAST通常使用代理来检测应用程序,以监视库调用等。GitLab还没有提供这个功能。

集装箱扫描

为应用程序构建Docker映像时,Gitlab可以运行安全扫描,以确保在您的代码发货的环境中没有任何已知的漏洞。结果随后显示在Merge Request和Pipeline视图中。此功能可作为一部分提供自动Devops.提供security-by-default。

了解有关容器扫描的更多信息

许可合规性

检查依赖项的许可证是否与您的申请兼容,并批准或拒绝它们。结果随后显示在Merge Request和Pipeline视图中。

了解有关许可合规性的更多信息

按需动态应用安全测试

没有理由等待下一次CI管道运行来查明您的站点是否存在漏洞,或者重现以前发现的漏洞。GitLab提供使用随需应变动态应用程序安全测试(DAST)扫描正在运行的应用程序,独立于代码更改或合并请求。

了解有关按需达斯的更多信息

按需DAST扫描的站点和扫描仪配置文件

使用按需DAST扫描快速重用配置配置文件,而不是每次需要运行一个时都重新配置扫描。将不同的扫描配置文件与站点配置文件混合,以便快速进行扫描涵盖应用程序和API的不同区域或深度的扫描。

了解有关容器应用程序安全性的更多信息