代替案 - Veracode

GitLab

gitlab.com

GitLab は、GitLab Inc. によって開発された、オープンソースライセンスを使用した、Wiki、問題追跡、継続的統合および展開パイプライン機能を提供する Git リポジトリマネージャーを提供する Web ベースの DevOps ライフサイクルツールです。このソフトウェアは、ウクライナの開発者 Dmitriy によって作成されました。 Zaporozhets 氏と Valery Sizov 氏。コードは元々 Ruby で書かれ、後に一部の部分が Go で書き直されました。当初はソフトウェア開発のチーム内で共同作業するためのソースコード管理ソリューションとして使用されていました。その後、ソフトウェア開発ライフサイクルをカバーする統合ソリューションに進化し、さらに DevOps ライフサイクル全体をカバーするようになりました。現在のテクノロジースタックには、Go、Ruby on Rails、Vue.js が含まれます。これはオープンコア開発モデルに従っており、コア機能はオープンソース (MIT) ライセンスに基づいてリリースされ、追加機能は独自のライセンスに基づいてリリースされます。

Codacy

codacy.com

Codacy は、高品質で安全なアプリケーションの構築を支援します。簡単に起動して実行し、品質、テスト範囲、セキュリティの向上を今日から始めることができます。 Codacy は、手間をかけずにチームのプロジェクトを迅速に導入して拡張できるプラグアンドプレイソリューションです。 - Git リポジトリとコード変更のスキャンを数分で開始 - 予測可能なユーザーベースの価格モデル - 49 以上の言語とフレームワークで動作

Synack

synack.com

オンデマンドセキュリティのためのプレミアプラットフォーム。サービスとしての PTaaS ペネトレーションテスト。時間の経過とともにセキュリティ体制を改善する攻撃的なセキュリティテスト 1 つのプラットフォームでさまざまな用途に使用できます。完全な制御と可視性を提供し、セキュリティプログラムのパターンと欠陥を明らかにし、組織が全体的なセキュリティ体制を改善できるようにし、経営陣や取締役会に経営層レベルのレポートを提供する戦略的な侵入テストを期待してください。 Synack のスマートセキュリティテストプラットフォームには、攻撃対象範囲の拡大、継続的なテスト、効率の向上のための自動化と拡張インテリジェンスの機能強化が含まれており、直面する課題に対するより多くの洞察を提供します。このプラットフォームは、人間によるテストの人材とスマートスキャンの最適な組み合わせを 24 時間 365 日体制でシームレスに調整し、すべて制御できます。いつものように、Synack はエリート Synack Red Team (SRT) を展開して資産をテストするだけでなく、SmartScan または会社のスキャナアプリケーションツールとの統合も同時に展開します。 Synack の SmartScan 製品は、当社プラットフォーム独自のスキャナである Hydra を利用して、SRT の脆弱性の疑いを継続的に検出し、クラス最高の結果のみを優先してトリアージします。これに加えて、SRT 研究者が積極的に脆弱性を探索し、コンプライアンスチェックリストを完成させる群衆主導のペネトレーションテストを通じて、さらなる厳格なテストを提供します。彼らは独自のツールと技術を使用して、比類のない人間の創造性と厳密さを提供します。 Synack プラットフォームを活用してすべてのアプリの高レベルの自動評価を実行し、Synack レッドチームが継続的かつ創造的に関与し続けるよう奨励しながら、Synack は人間の知能と人工知能の独自の組み合わせを提供し、その結果、最も効果的かつ効率的なクラウドソーシングを実現します。市場での侵入テスト。また、FedRAMP と Azure Marketplace でも利用可能になりました: Synack Platform はサービスとしてのペネトレーションテスト (PTaaS) を提供します

Pentest Tools

pentest-tools.com

Pentest-Tools.com は、Web アプリケーションとネットワーク侵入テストに焦点を当てた、攻撃的なセキュリティテストのためのクラウドベースのツールキットです。

Semgrep

semgrep.dev

Semgrep は、セキュリティエンジニアや開発者向けに構築された、高度にカスタマイズ可能なアプリケーションセキュリティプラットフォームです。 Semgrep は、ファーストパーティおよびサードパーティのコードをスキャンして、組織に固有のセキュリティ問題を検出します。実用的でノイズが少なく、開発者に優しい結果を超高速で明らかにすることに重点を置いています。 Semgrep が信頼性評価と到達可能性に焦点を当てているということは、セキュリティチームが安心して開発者をワークフローに直接関与させることができ (例: PR コメントで発見結果を明らかにする)、Semgrep は CI および SCM ツールとシームレスに統合してこれらのポリシーを自動化します。 Semgrep を使用すると、セキュリティチームは左にシフトして、開発者の速度に影響を与えることなくプログラムを拡張できます。 Semgrep は、3,400 を超えるすぐに使用できるルールとカスタムルールを簡単に作成できる機能を備えているため、クラス最高の AppSec プログラムの実装と拡張にかかる時間を短縮し、初日から価値を追加できます。

HostedScan

hostedscan.com

HostedScan は、24 時間 365 日のアラートとセキュリティ脆弱性の検出を提供します。業界標準のオープンソースの脆弱性スキャン。何か変化があったときの自動アラート。ターゲットリストを手動で管理するか、AWS、DigitalOcean、Linode などのプロバイダーから読み取り専用アクセスで自動的にインポートします。ダッシュボードとレポート機能を使用してリスクを管理および監査します。

Intruder

intruder.io

Intruder は、組織がネットワーク全体の脆弱な資産の弱点を発見、検出、修正できるようにする攻撃対象領域管理プラットフォームです。社内セキュリティチームの専門家のアドバイスを使用して、業界をリードする複数のスキャナーの出力をカスタマイズすることで、実用的な修復アドバイスを継続的に提供します。

Detectify

detectify.com

AppSec および ProdSec チーム向けの完全な外部攻撃対象領域管理、すべて 1 つの完全なスタンドアロン EASM プラットフォームから、厳密な検出、99.7% の精度の脆弱性評価、実用的なガイダンスによる迅速な修復によって外部の攻撃対象領域のカバーを開始します。

Astra

getastra.com

Astra の Pentest は、インテリジェントな自動脆弱性スキャナーと詳細な手動侵入テストを組み合わせた包括的な侵入テストソリューションです。当社の Pentest プラットフォームは、ハッカーの行動をエミュレートして、アプリケーション内の重大な脆弱性をプロアクティブに検出します。自動スキャナは、OWASP トップ 10 および SANS 25 にリストされているすべての CVE のセキュリティチェックを含む 10,000 以上のセキュリティチェックを実行します。また、ISO 27001 および HIPAA に準拠するために必要なすべてのテストも実行します。 Astra は、開発者向けに脆弱性の分析、チームメンバーへの脆弱性の割り当て、セキュリティ専門家との共同作業を容易にする、開発者向けのペンテストダッシュボードを提供します。また、ユーザーが毎回ダッシュボードに戻りたくない場合は、ダッシュボードを Slack と統合するだけで、脆弱性を簡単に管理できます。 Astra を CI/CD パイプラインと統合し、ソフトウェア開発ライフサイクルにおける脆弱性評価を確実に行います。 Astra は、Circle CI、Slack、Jenkins、Gitlab、Github、Azure、bitbucket と統合できます。正確なリスクスコアリング、誤検知ゼロ、徹底した修復ガイドラインにより、Astra の Pentest は、修正の優先順位付け、リソースの効率的な割り当て、ROI の最大化に役立ちます。 Astra 継続的コンプライアンススキャンにより、(SOC2、ISO27001、PCI、GDPR など) への準拠を確保します。

Immersive Labs

immersivelabs.com

Immersive Labs は、人間中心のサイバーレジリエンスのリーダーです。当社は、組織が最前線のサイバーセキュリティおよび開発チームから取締役会レベルの幹部に至るまで、組織全体のチームのサイバー労働力の回復力を継続的に評価、構築、証明できるよう支援します。最新の脅威に対する個人およびチームの能力と意思決定を評価するために、現実的なシミュレーションと実践的なサイバーセキュリティラボを提供します。組織は、業界のベンチマークと比較して準備状況を測定し、チームの能力を構築し、データに裏付けられた証拠に基づいてリスクの軽減とコンプライアンスを実証することで、サイバー回復力を証明できるようになりました。 Immersive Labs は、シティ、ファイザー、ヒューマナ、クロール、ボーダフォン、ロンドン交通などの世界最大の組織や政府から信頼されています。当社は、ゴールドマン・サックス・アセット・マネジメント、サミット・パートナーズ、インサイト・パートナーズ、シティ・ベンチャーズ、メンロ・ベンチャーズから支援を受けています。自社のサイバー能力を測定して証明したいですか?今すぐデモを予約してください: www.immersivelabs.com

Secure Code Warrior

securecodewarrior.com

Secure Code Warrior は、強力なセキュアコーディングスキルを向上させるために開発者が選んだソリューションです。 Secure Code Warrior の人間主導のアプローチは、セキュリティをポジティブで魅力的なエクスペリエンスにすることで、すべてのコーダーの内部にあるセキュリティの主役を明らかにし、開発チームが高品質のコードをより迅速に出荷できるように支援し、開発チームが世界のための驚くべき安全なソフトウェアの作成に集中できるようにします。私たちは、安全でないコーディングが世界に与える影響を懸念しており、創造性、親しみやすさ、楽しさを備えた独自のスタイルをこの運動に誇りを持って持ち込むことで、安全なコーディングの学習を前向きな経験にすることに取り組んでいます。セキュリティ意識の高い開発者の世界的なコミュニティに予防的セキュアコーディングアプローチを採用するよう促すことで、私たちの使命は、セキュリティスキルを向上させるための人間第一のソリューションを開拓し、不適切なコーディングパターンを永久に根絶することです。 Secure Code Warrior® 学習プラットフォームには、インタラクティブなゲーム化トレーニング、チームトーナメント、オンライン評価、リアルタイムコーチング、あらゆるスキルレベルに応じた状況に応じたマイクロラーニングが含まれています。開発者は、関連性の高い言語、フレームワーク固有のインタラクティブコーディングの課題について、セキュアなコーディングスキルと知識を高めることに熱心になるでしょう。学習リソース - セキュリティの基礎とアプリケーションのセキュリティの概念を学びましょう。セキュリティの基礎、モバイル、Web アプリケーションのセキュリティの弱点をカバーする 160 以上の e ラーニングビデオとプレゼンテーションリソース。トレーニング -- インタラクティブな言語で安全なコーディングスキルを構築します: フレームワーク固有のコーディングの課題。脆弱性とその仕組みの特定に関する意識を高め、コードレビュー中に脆弱性を特定するスキルをレベルアップし、最後に脆弱性を緩和して修正する方法を学びます。コース - サイバーセキュリティプログラム全体の中で能力を構築するための厳選された学習経路。 NIST や PCI-DSS などのコンプライアンス要件の達成を支援するトレーニングアクティビティを設定して割り当てたり、特定のスキルギャップをターゲットにしたりできます。トーナメント - セキュアコーディングに対する意識を高め、継続的な取り組みを促進します。コーディングコミュニティ全体を巻き込む、競争力のある魅力的なイベントを開催します。評価 - 完全にカスタマイズ可能で制御可能な環境で安全なコーディングスキルを検証します。コードのセキュリティに関して、開発者には基本レベルの能力があると確信してください。既存の開発者、オフショア開発者、新入社員、卒業生の安全なコーディングスキルを評価し、ベースラインを設定します。データと洞察 - コンプライアンス監査要件の評価結果を含む、組織全体のトレーニングの進行状況を追跡および監視するためのレポート。役割固有のダッシュボード、事前構築されたレポート、レポート API により、個人、チーム、会社のパフォーマンス、スキル開発を簡単に測定および分析できます。オープンな統合 - コアビジネスシステムに接続してワークフローを合理化します。 RESTful API を使用してプログラムでユーザーを管理し、既存のツールセット内で管理レポートを作成することで、ユーザー管理を合理化し、時間を節約します。

prooV

proov.io

prooV Red Cloud を使用すると、サイバー攻撃が発生した場合にテクノロジーがどのように反応するかを実装前に評価できます。カスタマイズされたクラウドベースの環境により、テストしているあらゆる種類のソフトウェアに対して複雑なサイバーセキュリティ攻撃を実行できる柔軟性が得られます。。 Red Cloud を PoC プラットフォームと併用して、最初のソフトウェアテストおよび評価プロセスにレッドチームテストを組み込むことも、単独で使用することもできます。

Probely

probely.com

Probely は、顧客が Web アプリケーションと API のセキュリティを簡単にテストできるようにする Web 脆弱性スキャナーです。私たちの目標は、セキュリティを Web アプリケーション開発ライフサイクルの本質的な特性にすることで、開発、セキュリティ、運用の間のギャップを縮め、重要なセキュリティ脆弱性のみを誤検知がなく、修正方法に関する簡単な手順とともに報告することです。 Probe を使用すると、セキュリティテストを開発チームまたは DevOps チームに移すことで、セキュリティチームがセキュリティテストを効率的に拡張できるようになります。私たちは顧客の内部プロセスに適応し、Probely をスタックに統合します。シングルページアプリケーション (SPA) などのリッチ JavaScript アプリケーションを含む、Restful API、Web サイト、および複雑な Web アプリケーションを確実にスキャンします。 SQL インジェクション、クロスサイトスクリプティング (XSS)、Log4j、OS コマンドインジェクション、SSL/TLS の問題など、20,000 を超える脆弱性を検出します。

Beagle Security

beaglesecurity.com

Beagle Security は、ハッカーが何らかの形で損害を与える前に、Web アプリケーション、API、GraphQL の脆弱性を特定し、実用的な洞察を使って脆弱性を修復するのに役立ちます。 Beagle Security を使用すると、自動侵入テストを CI/CD パイプラインに統合して、開発ライフサイクルの早い段階でセキュリティの問題を特定し、より安全な Web アプリケーションを出荷できます。主な機能: - Web アプリと API を 3000 以上のテストケースでチェックしてセキュリティの抜け穴を発見 - OWASP および SANS 標準 - セキュリティ問題に対処するための推奨事項 - ログインによる複雑な Web アプリのセキュリティテスト - コンプライアンスレポート (GDPR、HIPAA、PCI DSS) -テストスケジュール - DevSecOps 統合 - API 統合 - チームアクセス - Slack、Jira、Asana、Trello などの人気ツールとの統合、その他 100 以上ツール

Webscale

webscale.com

概要 Webscale は、グローバルブランドにセキュリティ、スケーラビリティ、パフォーマンス、自動化を提供する、現代的なコマースのためのクラウドプラットフォームです。 Webscale SaaS プラットフォームは自動化と DevOps プロトコルを活用して、Amazon Web Services、Google Cloud Platform、Microsoft Azure などのマルチクラウド環境でのインフラストラクチャの導入、管理、メンテナンスを簡素化します。 Webscale は、12 か国の数千の B2C、B2B、B2E e コマースストアフロントとフォーチュン 1000 企業の 8 社を支えており、カリフォルニア州サンタクララ、コロラド州ボルダー、テキサス州サンアントニオ、インドのバンガロール、英国のロンドンにオフィスを構えています。

Avatao

avatao.com

Avatao のセキュリティトレーニングは、単純なチュートリアルやビデオにとどまらず、開発者チーム、セキュリティチャンピオン、ペンテスター、セキュリティアナリスト、DevOps チームにインタラクティブな仕事関連の学習体験を提供します。このプラットフォームには 750 以上のチャレンジと 10 以上の言語によるチュートリアルがあり、OWASP Top 10 から DevSecOps や暗号化まで、セキュリティスタック全体にわたる幅広いセキュリティトピックをカバーしています。 Avatao のセキュアコーディングトレーニングは、開発者を注目度の高いケースに取り組み、困難なセキュリティ侵害に関する実際の詳細な経験を提供します。エンジニアは実際に自分でハッキングしてバグにパッチを当てる方法を学びます。このようにして、Avatao はソフトウェアエンジニアリングチームに、リスクを軽減し、既知の脆弱性に迅速に対応する能力を高めるセキュリティの考え方を備えさせます。これにより、企業のセキュリティ能力が向上し、高品質の製品を出荷できるようになります。

SecureFlag

secureflag.com

SecureFlag では、オンデマンドで作成され、Web ブラウザ経由で利用できる、完全に構成された実際の開発環境で実行される実践的なラボを通じて、安全なコーディングを教えています。開発者、DevOps、QA エンジニアは、学習パス、トーナメント、評価、強力な指標を含むゲーム化された適応型トレーニングプラットフォームを通じて防御型プログラミングを学習します。当社のプラットフォームは 100% 実践的で、効果のないセキュアコーディングクイズを置き換え、コードの変更をライブテストできるエンジンを使用しており、コードが修正されたかどうかを即座に表示し、演習完了時にポイントを付与します。 SecureFlag は、OWASP パートナーとして誇りを持っており、企業顧客向けの Enterprise エディションと並行して、すべての OWASP メンバーにトレーニングを提供しています。

RangeForce

rangeforce.com

RangeForce は、サイバーセキュリティと IT 運用の専門家に実践的な測定可能なシミュレーショントレーニングを提供する、スケーラブルなクラウドベースのプラットフォームです。

Phidata

phidata.com

エージェントシステムを構築、出荷、監視するためのオープンソースプラットフォーム。

Contrast Security

contrastsecurity.com

Contrast Security は、ランタイムアプリケーションセキュリティの世界的リーダーであり、コード分析と攻撃防御をソフトウェアに直接組み込んでいます。 Contrast の特許取得済みのセキュリティ計測は、アプリケーションポートフォリオ全体の高精度な評価と継続的な保護を実現する、統合された包括的なセキュリティオブザーバビリティにより、従来の AppSec アプローチを破壊します。 Contrast Runtime Security Platform は、強力なアプリケーションセキュリティテストとアプリケーションの検出と対応を可能にし、開発者、AppSec チーム、SecOps チームが進化し続ける脅威の状況からアプリケーションをより適切に保護し、防御できるようにします。アプリケーションセキュリティプログラムは最新化する必要があり、Contrast はチームが自信を持ってイノベーションできるようにします。

AppSecEngineer

appsecengineer.com

AppSec、クラウドセキュリティ、DevSecOps に関する最高の実践トレーニング。私たちは、組織を保護するために必要なスキルを備えた従業員をトレーニングします。大規模に。

Cobalt

cobalt.io

Cobalt は、人間のセキュリティに関する最高の人材と効果的なセキュリティツールを統合します。当社のエンドツーエンドの攻撃的セキュリティソリューションにより、お客様は動的に変化する攻撃対象領域全体のリスクを修復できます。当社はペネトレーションテストのスピードと品質で最もよく知られており、顧客の要望に応え、現在では AppSec チームと InfoSec チームのニーズをサポートする幅広いテスト製品とセキュリティサービスを提供しています。 2013 年以来、当社は 10,000 件を超える資産を確保し、2023 年だけで 4,000 件を超える侵入テストを実施しました。 1,300 を超える顧客が Cobalt と、450 人の精鋭ペンテスターからなる Cobalt コアを信頼しています。当社の専門テスターは平均 11 年の経験があり、最高の認定を取得しています。コアの知識と専用の Cobalt プラットフォームを組み合わせることで、リアルタイムの調査結果レポート、攻撃対象領域の監視と動的アプリケーションセキュリティテスト (DAST) へのアクセス、50 以上の機能への統合など、あらゆる取り組みを通じて継続的なコラボレーションを提供します。 Slack、Jira、ServiceNow などのビジネスシステムを利用して、修復作業を迅速化します。

Akto

akto.io

Akto は、アプリケーションセキュリティチームと製品セキュリティチームが、DevSecOps パイプライン全体でエンタープライズグレードの API セキュリティプログラムを構築するための信頼できるプラットフォームです。 API ディスカバリ、API セキュリティ体制管理、機密データ公開、API セキュリティテストソリューションの業界をリードするスイートにより、組織は API セキュリティ体制を可視化できます。世界中の 1,000 以上のアプリケーションセキュリティチームが、API セキュリティのニーズに関して Akto を信頼しています。 Akto の使用例: 1. API ディスカバリ 2. CI/CD での API セキュリティテスト 3. API セキュリティ体制管理 4. 認証および認可テスト 5. 機密データの公開 6. DevSecOps でのシフトレフト

Aikido Security

aikido.dev

Aikido Security は開発者中心のソフトウェアセキュリティプラットフォームで、高度なコードスキャンとクラウドの脆弱性評価を提供します。当社のプラットフォームは、実際の脅威を優先し、誤検知を減らし、共通脆弱性と漏洩 (CVE) を簡単に理解できるようにします。 Aikido を使用すると、製品のセキュリティの確保が簡単になり、最も得意なことであるコードの作成に集中できるようになります。

GuardRails

guardrails.io

GuardRails は、セキュリティチームと開発チームの両方にとって AppSec を容易にするエンドツーエンドのセキュリティプラットフォームです。脆弱性を早期に修正するためにスキャン、検出し、リアルタイムのガイダンスを提供します。より安全なアプリを構築するために世界中の何百ものチームから信頼されている GuardRails は、開発者のワークフローにシームレスに統合し、コーディング中に静かにスキャンし、ジャストインタイムトレーニングを通じてその場でセキュリティ問題を修正する方法を示します。 GuardRails は、ノイズを低く抑え、組織に関連する影響の大きい脆弱性のみを報告することに取り組んでいます。 GuardRails は、組織があらゆる場所にセキュリティを移行し、強力な DevSecOps パイプラインを構築するのに役立ちます。これにより、セキュリティを危険にさらすことなく、より迅速に市場投入できるようになります。

SOOS

soos.io

アプリケーションセキュリティ体制管理プラットフォーム組織のアプリケーションセキュリティ体制は、単なるチェックリスト以上のものである必要があります。 SOOS の ASPM は、ソフトウェア開発ライフサイクル (SDLC) およびライブデプロイメント全体にわたって、アプリケーションインフラストラクチャを脆弱性から保護するための動的かつ包括的なアプローチです。オールインワンのダッシュボード。

Escape

escape.tech

DevSecOps プロセス内で大規模に GraphQL のセキュリティ上の欠陥を見つけて修正します。新世代の DAST と ASM を活用して、GraphQL でのビジネスロジックの脆弱性を早期にリアルタイムで検出および修復し、開発から展開までのセキュリティを強化します。

Symbiotic Security

symbioticsec.ai

Symbiotic Security は、開発者がコードの脆弱性をリアルタイムでスペルチェックできるようにする IDE プラグインで、コードを作成するときに即座に検出し、規範的な修復推奨事項を提供します。このプラグインは、ゲーム化されたキャプチャザフラッグスタイルのチャレンジを通じて、特定された脆弱性に対する状況に応じたジャストインタイムのトレーニングも提供します。

SecDim

secdim.com

安全なコーディングを学ぶ世界初のリポジトリ内攻撃と防御のウォーゲーム。現実世界の事件にヒントを得た最新のセキュリティの脆弱性を特定、悪用、修復します。お気に入りの IDE とツールを使用するか、ブラウザーで直接クラウド開発環境を利用してください。コードのデバッグ、パッチ適用、テストをシームレスに実行します。他人のセキュリティパッチの弱点を発見する、攻撃と防御のセキュアコーディングの課題を体験してください。ハッキングとパッチ適用のスキルの限界に挑戦してください。

SafeStack

safestack.io

SafeStack はコミュニティ中心のオンライン教育プラットフォームで、最初のアイデアから最終製品に至るまでのソフトウェア開発ライフサイクル全体、つまりコードの存続期間全体にわたってセキュリティを組み込むために必要なスキルとサポートをソフトウェア開発チームに提供します。設計および構築するソフトウェアを保護し、コンプライアンスを簡単に満たします。 SafeStack は、あらゆる規模の組織が設計上安全になるよう支援します。