替代项 - Phidata

GitLab

gitlab.com

GitLab 是一个基于 Web 的 DevOps 生命周期工具，提供 Git 存储库管理器，提供 wiki、问题跟踪以及持续集成和部署管道功能，使用开源许可证，由 GitLab Inc. 开发。该软件由乌克兰开发人员 Dmitriy 创建Zaporozhets 和 Valery Sizov。代码最初是用 Ruby 编写的，后来用 Go 重写了某些部分，最初作为源代码管理解决方案，用于在软件开发团队中进行协作。后来演变为覆盖软件开发生命周期的集成解决方案，进而发展到整个DevOps生命周期。目前的技术栈包括Go、Ruby on Rails和Vue.js。 它遵循开放核心开发模型，其中核心功能在开源 (MIT) 许可证下发布，而附加功能则在专有许可证下发布。

Codacy

codacy.com

Codacy 帮助构建高质量、安全的应用程序。您可以轻松启动并运行，并立即开始提高质量、测试覆盖率和安全性。 Codacy 是一种即插即用的解决方案，可以轻松快速地加入和扩展团队的项目。 - 在几分钟内开始扫描 git 存储库和代码更改 - 可预测的基于用户的定价模型 - 适用于超过 49 种语言和框架

Synack

synack.com

按需安全的首要平台。 PTaaS 渗透测试即服务。进攻性安全测试可随着时间的推移改善您的安全状况 一个平台，多种用途。期望战略渗透测试能够提供完全的控制和可见性，揭示安全计划中的模式和缺陷，使组织能够改善整体安全状况，并为领导层和董事会提供执行级别的报告。 Synack 的智能安全测试平台包括自动化和增强智能增强功能，可实现更大的攻击面覆盖范围、持续测试和更高的效率，从而为您面临的挑战提供更多见解。该平台全天候 24/7/365 无缝地协调人类测试人才和智能扫描的最佳组合，一切都在您的控制之下。与往常一样，Synack 不仅部署精英 Synack Red Team (SRT) 来测试您的资产，现在还同时部署 SmartScan 或与您公司的扫描仪应用工具集成。 Synack 的 SmartScan 产品利用我们平台的专有扫描仪 Hydra 不断发现 SRT 的可疑漏洞，然后对 SRT 进行分类以获得一流的结果。除此之外，我们还通过众包渗透测试提供了更高级别的测试严格性，其中 SRT 研究人员主动寻找漏洞并完成合规性检查表。他们使用自己的工具和技术，提供了无与伦比的人类创造力和严谨性。在利用 Synack 平台对所有应用程序执行高水平、自动化评估并激励 Synack 红队持续、创造性地保持参与的同时，Synack 提供了人类智能和人工智能的独特结合，从而产生最有效、最高效的众包市场渗透测试。此外，现已在 FedRAMP 和 Azure 市场上提供：Synack 平台提供渗透测试即服务 (PTaaS)

Pentest Tools

pentest-tools.com

Pentest-Tools.com 是一个基于云的攻击性安全测试工具包，专注于 Web 应用程序和网络渗透测试。

Semgrep

semgrep.dev

Semgrep 是一个为安全工程师和开发人员构建的高度可定制的应用程序安全平台。 Semgrep 扫描第一方和第三方代码以查找组织特有的安全问题，重点是以闪电般的速度呈现可操作、低噪音且开发人员友好的结果。 Semgrep 专注于置信度评级和可达性，这意味着安全团队可以放心地让开发人员直接参与其工作流程（例如，在 PR 评论中显示发现的结果），并且 Semgrep 与 CI 和 SCM 工具无缝集成，以自动化这些策略。借助 Semgrep，安全团队可以向左移动并扩展其程序，而对开发人员速度的影响为零。凭借 3400 多个开箱即用的规则以及轻松创建自定义规则的能力，Semgrep 加快了实施和扩展一流 AppSec 计划所需的时间，同时从第一天起就增加了价值。

HostedScan

hostedscan.com

HostedScan 提供 24x7 警报和安全漏洞检测。行业标准、开源、漏洞扫描。当事情发生变化时自动发出警报。手动管理目标列表或从具有只读访问权限的提供商（例如 AWS、DigitalOcean 和 Linode）自动导入。通过仪表板和报告来管理和审计风险。

Veracode

veracode.com

Veracode 是人工智能时代应用程序风险管理的全球领导者。 Veracode 平台由数万亿行代码扫描和专有的人工智能辅助修复引擎提供支持，受到全球组织的信赖，可以构建和维护从代码创建到云部署的安全软件。成千上万的世界领先的开发和安全团队每天都在使用 Veracode，以获得可利用风险的准确、可操作的可见性，实现实时漏洞修复，并大规模减少安全债务。 Veracode 是一家屡获殊荣的公司，提供保护整个软件开发生命周期的功能，包括 Veracode 修复、静态分析、动态分析、软件组合分析、容器安全、应用程序安全态势管理和渗透测试。

Intruder

intruder.io

Intruder 是一个攻击面管理平台，使组织能够发现、检测和修复网络中任何易受攻击的资产的弱点。它通过使用我们内部安全团队的专家建议定制多个行业领先扫描仪的输出，持续提供可行的补救建议。

prooV

proov.io

借助 prooV Red Cloud，您可以在实施之前评估技术在网络攻击情况下将如何反应。这是一个量身定制的基于云的环境，使您可以灵活地对您正在测试的任何类型的软件执行复杂的网络安全攻击。您可以将 Red Cloud 与 PoC 平台结合使用，将红队测试纳入您的初始软件测试和评估过程中，也可以单独使用它。

Probely

probely.com

Probely 是一款 Web 漏洞扫描程序，使客户能够轻松测试其 Web 应用程序和 API 的安全性。我们的目标是通过使安全性成为 Web 应用程序开发生命周期的固有特征来缩小开发、安全性和运营之间的差距，并且仅报告重要的安全漏洞、无误报并提供有关如何修复这些漏洞的简单说明。 Probely 允许安全团队通过将安全测试转移到开发或 DevOps 团队来有效地扩展安全测试。我们适应客户的内部流程并将 Probely 集成到他们的堆栈中。探针扫描 Restful API、网站和复杂的 Web 应用程序，包括丰富的 Javascript 应用程序，例如单页应用程序 (SPA)。它可检测超过 20,000 个漏洞，包括 SQL 注入、跨站脚本 (XSS)、Log4j、操作系统命令注入和 SSL/TLS 问题。

Beagle Security

beaglesecurity.com

Beagle Security 可帮助您识别 Web 应用程序、API、GraphQL 中的漏洞，并在黑客以任何方式伤害您之前通过可行的见解进行修复。借助 Beagle Security，您可以将自动化渗透测试集成到 CI/CD 管道中，以便在开发生命周期的早期识别安全问题并交付更安全的 Web 应用程序。主要功能： - 检查您的 Web 应用程序和 API 的 3000 多个测试用例，以查找安全漏洞 - OWASP 和 SANS 标准 - 解决安全问题的建议 - 通过登录对复杂的 Web 应用程序进行安全测试 - 合规性报告（GDPR、HIPAA 和 PCI DSS） -测试调度 - DevSecOps 集成 - API 集成 - 团队访问 - 与 Slack、Jira、Asana、Trello 和 100 多个其他工具等流行工具集成

Webscale

webscale.com

概述 Webscale 是现代商业的云平台，为全球品牌提供安全性、可扩展性、性能和自动化。 Webscale SaaS 平台利用自动化和 DevOps 协议来简化多云环境中基础设施的部署、管理和维护，包括 Amazon Web Services、Google Cloud Platform 和 Microsoft Azure。 Webscale 为十二个国家和八家财富 1000 强企业的数千个 B2C、B2B 和 B2E 电子商务店面提供支持，并在加利福尼亚州圣克拉拉、科罗拉多州博尔德、德克萨斯州圣安东尼奥、印度班加罗尔和英国伦敦设有办事处。

Astra

getastra.com

Astra 的 Pentest 是一个全面的渗透测试解决方案，具有智能自动化漏洞扫描器和深入的手动渗透测试。我们的 Pentest 平台模拟黑客行为，主动发现应用程序中的关键漏洞。自动扫描仪执行 10,000 多项安全检查，包括对 OWASP Top 10 和 SANS 25 中列出的所有 CVE 进行安全检查。它还执行所有必需的测试，以符合 ISO 27001 和 HIPAA。 Astra 提供了一个开发人员友好的渗透测试仪表板，可以轻松分析漏洞、将漏洞分配给团队成员并与安全专家协作。如果用户不想每次都返回仪表板，他们可以简单地将仪表板与 Slack 集成并轻松管理漏洞。将 Astra 与您的 CI/CD 管道集成，并确保软件开发生命周期中的漏洞评估。 Astra 可以与 Circle CI、Slack、Jenkins、Gitlab、Github、Azure 和 bitbucket 集成。凭借准确的风险评分、零误报和彻底的补救指南，Astra 的 Pentest 可以帮助您确定修复的优先级、有效地分配资源并最大化投资回报率。 Astra 持续合规性扫描可确保您始终符合（SOC2、ISO27001、PCI、GDPR 等）

Cobalt

cobalt.io

Cobalt 结合了最优秀的人类安全人才和有效的安全工具。我们的端到端进攻性安全解决方案使客户能够在动态变化的攻击面中修复风险。我们以渗透测试的速度和质量而闻名，在客户需求的推动下，我们现在提供广泛的测试产品和安全服务来支持应用安全和信息安全团队的需求。自 2013 年以来，我们已获得超过 10,000 项资产，仅 2023 年就进行了 4,000 多次渗透测试。超过 1,300 家客户依赖 Cobalt，以及我们由 450 名精英渗透测试人员组成的 Cobalt 核心。我们的专家测试人员平均拥有 11 年经验并持有顶级认证。将核心知识与专门构建的 Cobalt 平台相结合，我们通过任何参与提供持续协作，包括实时结果报告、访问攻击面监控和动态应用程序安全测试 (DAST)，以及集成到 50 多个包括 Slack、Jira 和 ServiceNow 在内的业务系统，以加快修复工作。

Akto

akto.io

Akto 是一个值得信赖的平台，可供应用程序安全和产品安全团队在整个 DevSecOps 管道中构建企业级 API 安全计划。我们业界领先的 API 发现、API 安全态势管理、敏感数据暴露和 API 安全测试解决方案套件使组织能够了解其 API 安全态势。全球有 1,000 多个应用程序安全团队信任 Akto 来满足他们的 API 安全需求。 Akto 用例： 1. API 发现 2. CI/CD 中的 API 安全测试 3. API 安全态势管理 4. 身份验证和授权测试 5. 敏感数据暴露 6. DevSecOps 中的左移

Aikido Security

aikido.dev

Aikido Security 是一个以开发人员为中心的软件安全平台，提供高级代码扫描和云漏洞评估。我们的平台优先考虑真正的威胁，减少误报，并使常见漏洞和暴露 (CVE) 易于理解。借助合气道，确保产品的安全性变得简单，让您可以专注于自己最擅长的事情：编写代码。

Detectify

detectify.com

为 AppSec 和 ProdSec 团队提供完整的外部攻击面管理， 通过严格的发现、99.7% 准确的漏洞评估以及通过可行的指导加速修复来开始覆盖您的外部攻击面，所有这些都来自一个完整的独立 EASM 平台。

SOOS

soos.io

应用安全态势管理平台 您组织的应用程序安全状况不应只是一个清单。 SOOS 的 ASPM 是一种动态、全面的方法，可保护您的应用程序基础架构在整个软件开发生命周期 (SDLC) 和实时部署中免受漏洞影响。一切尽在一个仪表板中。

Escape

escape.tech

在 DevSecOps 流程中大规模查找并修复 GraphQL 安全缺陷。 利用新一代 DAST 和 ASM 在 GraphQL 中进行早期实时业务逻辑漏洞检测和修复，增强从开发到部署的安全性。

Trickest

trickest.com

Trickest 提供了一种创新的方法来进行进攻性网络安全自动化以及资产和漏洞发现。其平台将广泛的对手策略和技术与完全透明、超定制和超可扩展性相结合，使其成为进攻性安全操作的首选平台。

Strobes

strobes.co

使您的企业能够完全了解和控制应用程序安全状况。消除盲点，有效地确定威胁的优先级，并简化补救措施。 Strobes ASPM 优势： 1. 由于简化的流程和清晰的可见性，安全和开发团队的效率立即得到提升。 2. 通过先进的自动化和增强的流程可视性实现有效的安全管理。 3. 针对特定环境的风险优先级，确保安全工作与您独特的风险状况保持一致。 4. 快速风险缓解，由自动护栏和持续合规工作支持。 5. 改善跨部门协作，培育安全高效的文化。

CyCognito

cycognito.com

CyCognito 是一种网络安全解决方案，旨在帮助组织发现、测试整个数字环境中的安全问题并确定其优先级。通过利用先进的人工智能，CyCognito 扫描数十亿个网站、云应用程序和 API，以识别潜在的漏洞和关键风险。这种主动方法使组织能够在安全问题被恶意行为者利用之前解决安全问题，从而增强其整体安全状况。 CyCognito 的目标受众包括新兴公司、政府机构和财富 500 强组织，所有这些组织在当今的数字环境中都面临着越来越多的威胁。这些实体需要强大的安全措施来保护敏感数据并保持对各种法规的遵守。 CyCognito 是安全团队的重要工具，为他们提供了解风险敞口并有效确定修复工作优先级所需的见解。 CyCognito 平台的主要功能之一是其全面的扫描功能，涵盖广泛的数字资产。这种广泛的覆盖范围确保组织可以识别其所有在线业务中的漏洞，包括第三方服务和影子 IT。该平台的人工智能驱动分析通过自动评估已识别风险的严重性进一步增强其有效性，使安全团队能够专注于可能导致重大违规的最关键问题。除了风险发现之外，CyCognito 还提供可行的补救指导，帮助组织实施有效的安全措施。该平台提供了有关漏洞性质的详细见解，并提出了缓解漏洞的具体步骤。此功能不仅简化了修复过程，还使组织能够随着时间的推移构建更具弹性的安全框架。通过将 CyCognito 集成到其网络安全策略中，组织可以显着降低风险暴露并增强应对新威胁的能力。该平台将广泛扫描、人工智能驱动的风险评估和可操作的补救指南独特地结合起来，使其成为任何希望在日益复杂的威胁环境中加强安全态势的组织的宝贵资产。

Secure Blink

secureblink.com

Threatspy 是一个开发人员优先、人工智能驱动的 AppSec 管理平台。 Threatspy 使开发人员和安全团队能够通过自动检测、优先级排序和修复流程主动识别和缓解应用程序和 API 中的已知和未知漏洞。通过利用 Threatspy，组织可以增强其安全态势、降低风险并确保其数字基础设施的弹性。

ResilientX

resilientx.com

ResilientX Security 是一家快速发展的网络安全公司，帮助各种规模的组织识别、量化和管理其网络风险和网络暴露。 在 ResilientX，我们致力于提供最先进的安全解决方案，帮助组织保护其数字资产并保持合规性。 我们的第一方和第三方风险和暴露管理平台专为那些认真对待安全和合规性的人而设计。

Contrast Security

contrastsecurity.com

Contrast Security 是运行时应用程序安全领域的全球领导者，将代码分析和攻击预防直接嵌入到软件中。 Contrast 的专利安全仪器通过集成且全面的安全可观察性颠覆了传统的 AppSec 方法，可为整个应用程序组合提供高度准确的评估和持续保护。 Contrast 运行时安全平台支持强大的应用程序安全测试以及应用程序检测和响应，使开发人员、AppSec 团队和 SecOps 团队能够更好地保护和防御其应用程序免受不断变化的威胁环境的影响。应用程序安全计划需要现代化，而 Contrast 使团队能够充满信心地进行创新。

DerSecur

derscanner.com

DerScanner 是一个完整的应用程序安全测试解决方案，可消除整个软件开发生命周期中已知和未知的代码威胁。 DerScanner 静态代码分析为开发人员提供了对 43 种编程语言的支持，确保几乎所有应用程序的全面安全覆盖。 DerScanner 的 SAST 能够独特地分析源文件和二进制文件，揭示标准扫描中经常遗漏的隐藏漏洞。这对于遗留应用程序或当源代码访问受到限制时尤其重要。 DerScanner 的 DAST 功能模仿外部攻击者，类似于渗透测试。这对于查找仅在应用程序运行时出现的漏洞至关重要。 DerScanner 中的 DAST 通过交叉检查和关联两种方法检测到的漏洞来丰富 SAST 发现。借助 DerScanner 软件成分分析，您可以深入了解项目中的开源组件和依赖项。它有助于及早发现漏洞并确保遵守许可条款，从而降低法律风险。 DerScanner 的供应链安全持续监控公共存储库，评估每个包裹的安全状况。这使您能够就在应用程序中使用开源组件做出明智的决定。

Jit

jit.io

Jit 的开放 ASPM 平台是保护代码和云的最简单方法，可在几分钟内提供完整的应用程序和云安全覆盖。根据您的用例定制开发人员安全工具链，只需点击几下即可在您的存储库中实施它。

Conviso

convisoappsec.com

Conviso 平台覆盖了整个安全管道，使开发人员能够构建安全的应用程序。因为安全性不应该是开发流程中的一个孤立部分，它应该是所有团队之间持续的协作活动。 Conviso 现在在其平台上推出五种产品来帮助您完成这一使命。

Data Theorem

datatheorem.com

RamQuest 的解决方案包括完全集成的结算、托管会计、成像、交易管理、设计和数字市场解决方案，可在本地或托管环境中使用

Bright Security

brightsec.com

Bright Security 以开发为中心的 DAST 平台为开发人员和 AppSec 专业人员提供针对 Web 应用程序、API 以及 GenAI 和 LLM 应用程序的企业级安全测试功能。 Bright 知道如何在正确的时间在 SDLC、开发人员和 AppSec 工具以及选择的堆栈中提供正确的测试，同时最大限度地减少误报和警报疲劳。