gitlab英雄边框图案左svg Gitlab英雄边框图案右SVG

GitLab
vs.
checkmarx.

决策套件

决策套件

checkmarx摘要

CheckMarx是一家长期的公司,担任斯塔斯。他们被认为是Gartner应用程序安全测试魔术象限的领导者。

与Gitlab的比较

虽然CheckMarx具有更成熟的SAST产品,但Gitlab提供了更广泛的安全测试功能,包括DAST和FUZZ测试。Gitlab的功能与框中的剩下的Gitlab的功能集成,不需要任何特殊的集成来将工作流程留给开发团队的工作流程。Gitlab客户报告说,Gitlab通常具有比CheckMarx更好的假阳性率,这在尝试找到真正重要的真实漏洞时节省了时间。CheckMarx在安全市场的成熟地位和深度深度的SAST功能抵消了Gitlab的较低价格点和与软件开发生命周期的其余部分更紧密的集成。

checkmarx.想象最接近Appsec供应商中的Gitlab,但由于它们必须通过API集成到SDLC的其余部分中,因此它们的执行路径更为有限。此外,与其他AppSec供应商一样,CheckMarx昂贵。每年为12个开发商的开发商定价为每年59千美元或50美元,每年50美元,每年50美元。CheckMarx使用WhiteSource进行依赖性扫描,并为此开源扫描每年收取额外的12K美元USD。

CheckMarx Excels在上下文中,他们可以在路径上标记未利用的内容。Gitlab缺乏这种能力。另一方面,Gitlab自动包括广泛的安全扫描,每个代码包括静态和动态应用程序安全性测试,以及依赖性扫描,容器扫描和许可合规性。所有这些都是单个Gitlab终极应用程序的一部分。

安全扫描

长处和短处

GitLab checkmarx.
优势 •成本比CheckMarx价格昂贵
•与开发人员工作流程紧密集成
•默认包含完整的应用程序测试类型(SAST,DAST等)
•比较低的假阳性率
•强大提供扫描类型
•与IDE和本地开发人员环境的良好集成
•众所周知,市场领先的SAST提供
弱点 •Gitlab的Sast仅提供扫描代码存储库,并无法扫描编译的二进制文件 •SCA本质上是一个全新的产品,只能作为他们的婴儿服装的加丁新利18骗
•DAST仅通过合作伙伴关系作为托管服务
•不提供义力测试
•每种测试都是一个单独的软件,必须单独许可,管理和集成Devops生命周期
•运行CheckMarx软件的操作系统支持仅限于Windows
•需要显着的调谐以减少误报

功能阵容

GitLab checkmarx.
斯塔斯
达斯 仅限托管服务
IAST.
SCA:漏洞扫描
SCA:开源审计
模糊测试
特征比较
特征

静态应用安全测试

Gitlab允许在CI / CD管道中轻松运行静态应用安全测试(SAST);检查应用程序包含的库中易受攻击的源代码或众所周知的安全错误。然后在合并请求和管道视图中显示结果。此功能可作为一部分提供自动Devops.提供逐个安全性。

了解有关静态应用安全测试的更多信息

秘密检测

Gitlab允许您在CI / CD管道中执行秘密检测;检查无意的秘密和凭据。然后在合并请求和管道视图中显示结果。此功能可作为一部分提供自动Devops.提供逐个安全性。

了解有关秘密检测的更多信息

依赖性扫描

Gitlab自动检测应用程序包含的库中的众所周知的安全错误,保护您的应用程序免受影响动态使用的依赖性的漏洞。然后在合并请求和管道视图中显示结果。此功能可作为一部分提供自动Devops.提供逐个安全性。

了解有关依赖扫描的更多信息

动态应用安全测试

一旦您的应用程序在线,Gitlab允许在CI / CD管道中运行动态应用安全测试(DAST);您的应用程序将被扫描以确保XSS或损坏的身份验证缺陷的威胁不会影响它。然后在合并请求和管道视图中显示结果。此功能可作为一部分提供自动Devops.提供逐个安全性。

了解有关容器的应用程序安全性的更多信息

交互式应用安全测试

IAST.结合静态和动态应用安全测试方法的元素来提高结果的整体质量。iAST通常使用代理商来仪器将应用程序监视,以监控库呼叫等。Gitlab尚未提供此功能。

集装箱扫描

为应用程序构建Docker映像时,Gitlab可以运行安全扫描,以确保在您的代码发货的环境中没有任何已知的漏洞。然后在合并请求和管道视图中显示结果。此功能可作为一部分提供自动Devops.提供逐个安全性。

了解有关容器扫描的更多信息

许可合规性

检查依赖项的许可证是否与您的申请兼容,并批准或拒绝它们。然后在合并请求和管道视图中显示结果。

了解有关许可合规性的更多信息

按需动态应用安全测试

没有理由等待下一个CI管道运行,以查找您的网站是否易受攻击或重现先前找到的漏洞。Gitlab提供使用按需动态应用安全测试(DAST)的运行应用程序,独立于代码更改或合并请求。

了解有关按需达斯的更多信息

用于按需DAST扫描的站点和扫描仪档案

使用按需DAST扫描快速重用配置配置文件,而不是每次需要运行一个时都重新配置扫描。将不同的扫描配置文件与站点配置文件混合,以便快速进行扫描涵盖应用程序和API的不同区域或深度的扫描。

了解有关容器的应用程序安全性的更多信息