找到合适的软件和服务。
使用 WebCatalog Desktop 将网站转化为桌面应用,并访问大量 Mac、Windows 专属的应用。使用空间组织应用,在多个帐户之间轻松切换,通过前所未有的方式提高工作效率。
静态应用程序安全测试 (SAST) 软件检查应用程序的代码,以在不运行代码的情况下查找安全漏洞。具有持续交付实践的公司通常使用这些工具在部署之前检测问题。 SAST 工具提供有关漏洞的详细信息,并为开发团队提供修复建议以供解决。虽然与静态代码分析工具有一些重叠,但 SAST 产品专门针对安全测试。相比之下,静态代码分析工具通常提供更广泛的功能,包括各种分析方法、测试管理和团队协作。
提交新应用
GitHub
github.com
Github,Inc。是一家美国跨国公司,为使用GIT提供软件开发和版本控制的托管。它提供了GIT的分布式版本控制和源代码管理(SCM)功能,以及其自己的功能。它为每个项目提供访问控制和几个协作功能,例如错误跟踪,功能请求,任务管理和Wiki。它总部位于加利福尼亚州,自2018年以来一直是Microsoft的子公司。Github免费提供其基本服务。它更高级的专业和企业服务是商业化。免费的GitHub帐户通常用于托管开源项目。截至2019年1月,Github向所有计划(包括免费帐户)提供无限的私人存储库,但每个存储库中最多只允许三位合作者。从2020年4月15日开始,免费计划允许无限的合作者,但每月将私人存储库限制为2,000分钟。截至2020年1月,Github报告说,拥有超过4000万用户和超过1亿个存储库(包括至少2800万个公共存储库),使其成为世界上最大的源代码。
GitLab
about.gitlab.com
GitLab is a web-based DevOps lifecycle tool that provides a Git-repository manager providing wiki, issue-tracking and continuous integration and deployment pipeline features, using an open-source license, developed by GitLab Inc. The software was created by Ukrainian developers Dmitriy Zaporozhets and Valery Sizov.The code was originally written in Ruby, with some parts later rewritten in Go, initially as一个源代码管理解决方案,可以在团队中进行有关软件开发的协作。后来,它演变为涵盖软件开发生命周期的集成解决方案,然后演变为整个DevOps生命周期。当前的技术堆栈包括GO,Ruby on Rails和Vue.js。 它遵循开放式开发模型,该模型在开源(MIT)许可下发布核心功能,而额外功能则在专有许可下。
Codacy
codacy.com
Codacy 帮助构建高质量、安全的应用程序。您可以轻松启动并运行,并立即开始提高质量、测试覆盖率和安全性。 Codacy 是一种即插即用的解决方案,可以轻松快速地加入和扩展团队的项目。 - 在几分钟内开始扫描 git 存储库和代码更改 - 可预测的基于用户的定价模型 - 适用于超过 49 种语言和框架
DeepSource
deepsource.com
代码健康平台。借助静态分析和人工智能的力量构建可维护且安全的软件。 DeepSource 不断分析源代码更改,以查找并修复安全、性能、反模式和错误风险等问题。 DeepSource 与 GitHub、GitLab、Bitbucket 和 Azure DevOps 集成,并对每个提交和拉取请求运行分析,在潜在问题投入生产之前发现并修复它们。
Snyk
snyk.io
Snyk(发音为 Snake)是一个开发人员安全平台,用于通过单一平台保护自定义代码、开源依赖项、容器和云基础设施。 Snyk 的开发人员安全解决方案使现代应用程序能够安全地构建,使开发人员能够拥有并构建整个应用程序的安全性,从代码和开源到容器和云基础设施。在 IDE 中编码时确保安全:使用扫描器快速查找问题,通过修复建议轻松修复问题,验证更新的代码。集成源代码存储库以保护应用程序:集成存储库以查找问题、根据上下文确定优先级、修复和合并。在整个 SDLC 中构建时保护您的容器:编写 Dockerfile 后立即开始修复容器,在整个生命周期中持续监控容器镜像,并根据上下文确定优先级。安全的构建和部署管道:与 CI/CD 工具本地集成、配置规则、查找和修复应用程序中的问题以及监控应用程序。通过 Snyk 的漏洞扫描和自动修复快速保护您的应用程序 - 免费试用!
SonarCloud
sonarcloud.io
SonarCloud 是 SonarQube 平台的基于云的替代方案,提供持续的代码质量和安全分析服务。 SonarCloud 与流行的版本控制和 CI/CD 平台(例如 GitHub、Bitbucket 和 Azure DevOps)无缝集成。它提供静态代码分析来识别并帮助修复错误和安全漏洞等问题。 SonarCloud 使开发人员能够在其开发环境中收到有关其代码的即时反馈,促进高质量代码标准的维护,并促进软件开发项目持续改进的文化。它有助于开发安全、可靠且可维护的软件。 SonarCloud 对于开源项目是免费的,对于私人项目则作为付费订阅提供,按代码行定价。
Semgrep
semgrep.dev
Semgrep 是一个为安全工程师和开发人员构建的高度可定制的应用程序安全平台。 Semgrep 扫描第一方和第三方代码以查找组织特有的安全问题,重点是以闪电般的速度呈现可操作、低噪音且开发人员友好的结果。 Semgrep 专注于置信度评级和可达性,这意味着安全团队可以放心地让开发人员直接参与其工作流程(例如,在 PR 评论中显示发现的结果),并且 Semgrep 与 CI 和 SCM 工具无缝集成,以自动化这些策略。借助 Semgrep,安全团队可以向左移动并扩展其程序,而对开发人员速度的影响为零。凭借 3400 多个开箱即用的规则以及轻松创建自定义规则的能力,Semgrep 加快了实施和扩展一流 AppSec 计划所需的时间,同时从第一天起就增加了价值。
Embold
embold.io
Embold 通过在关键代码问题成为障碍之前发现它们来为开发人员和开发团队提供支持。它是高效分析、诊断、转换和维护软件的完美工具。通过使用 A.I.和机器学习技术,Embold 可以立即确定问题的优先级,提出解决问题的最佳方法,并在必要时重构软件。在当前的 Dev-Ops 堆栈中、在本地或在云端私下或公开运行它。
CodeThreat
codethreat.com
使用 CodeThreat SAST 平台尽早防止 SDLC 中的软件缺陷。 CodeThreat 静态测试您的代码,帮助您定位、确定优先级并减轻安全漏洞,而无需预编译。自托管扫描中心将帮助您通过软件开发管道中的实时操作更快地缓解问题。
GitGuardian
gitguardian.com
构建软件的新方法需要支持新的漏洞和新的修复工作流程。这些需求突然出现,催生了一个年轻且高度分散的 DevSecOps 工具市场。解决方案根据要解决的漏洞类型进行专门设计:SAST、DAST、IAST、RASP、SCA、秘密检测、容器安全和基础设施即代码安全。然而,市场是分散的,工具没有很好地集成到开发人员的工作流程中。 GitGuardian 由 Jérémy Thomas 和 Eric Fourrier 于 2017 年创立,已成为秘密检测领域的领导者,目前专注于提供整体代码安全平台,同时支持 AppSec 的共享责任模型。迄今为止,该公司已筹集总投资 5600 万美元。 GitGuardian 的安装量超过 15 万次,是 GitHub Marketplace 上排名第一的安全应用程序。其企业级功能真正使 AppSec 和开发团队能够以协作方式交付无秘密代码。其检测引擎基于 350 个检测器,能够在 CI/CD 管道的每一步捕获公共和私人存储库和容器中的秘密。
CodeScan
codescan.io
CodeScan Shield 通过两个自动化模块解决代码质量、安全性和合规性责任:CodeScan 和 OrgScan。 CodeScan 提供静态代码分析,以便从代码编写到生产的那一刻起全面了解代码的运行状况。 OrgScan 通过执行 Salesforce 环境强制执行的安全性和合规性规则来管理组织策略。它们共同确保构成 Salesforce 环境的代码以及环境的使用方式始终符合高标准。其结果是增强了数据安全性、简化了 DevSecOps 流程并保证满足合规性标准,从而避免了潜在的数千美元罚款和失去机会。 CodeScan Shield 可从内部和外部保护您的 Salesforce 组织。 CodeScan 提供仪表板和报告以实现一致的代码可见性,同时还在引入新错误时向开发人员发出警报。 OrgScan 分析 Salesforce 策略,以确保组织始终符合客户规定的规范和指南。违规行为会被标记并记录在交互式仪表板中。跟踪政策审查的进展。总的来说,这些功能可确保管理员在其组织内保持治理控制。 CodeScan Shield 是 AutoRABIT 完整 DevSecOps 平台的一部分。借助 CodeScan Shield 的强大技术,Salesforce DevOps 团队能够快速生成高质量、安全的应用程序和更新。
Data Theorem
datatheorem.com
RamQuest 的解决方案包括完全集成的结算、托管会计、成像、交易管理、设计和数字市场解决方案,可在本地或托管环境中使用
The Code Registry
thecoderegistry.com
代码注册表是世界上第一个由人工智能驱动的代码智能和见解平台,旨在保护和优化企业的软件资产。通过提供独立、安全的代码存储库复制并提供深入的分析和报告,代码注册表使业务领导者和高级 IT 专家能够更有效地管理其开发团队和软件预算。代码注册中心注重安全性、效率和透明度,正在为代码管理和分析制定新标准。通过注册我们的任何订阅级别,您将拥有完全访问权限; > 独立安全的自动化 Code Vault 备份 > 完整的代码安全扫描 > 开源依赖性和许可证检测 > 代码复杂性分析 > AI Quotient™ > 完整的 Git 历史记录 > 专有的“代码到复制”代码评估 > 自动比较报告。代码注册表。了解您的代码™
OX Security
ox.security
安全性应该是软件开发过程中不可或缺的一部分,而不是事后才想到的。 OX 由两位前 Check Point 高管 Neatsun Ziv 和 Lion Arzi 创立,是第一个也是唯一一个主动应用程序安全态势管理 (ASPM) 平台,将不同的应用程序安全工具(ASPM+AST 和 SSC)整合到一个控制台中。通过将风险管理和网络安全的最佳实践与为开发人员量身定制的以用户为中心的方法相结合,它可以在整个开发周期中提供完整的安全性、优先级和安全问题的自动修复,使组织能够快速发布安全产品。
Cycode
cycode.com
Cycode 是唯一的端到端软件供应链 (SSC) 安全解决方案,可在 SDLC 的所有阶段提供可见性、安全性和完整性。 Cycode 与您的所有软件交付管道工具和基础设施提供商集成,通过一致的治理和安全策略实现完整的可见性和强化的安全态势。 Cycode 通过一系列扫描引擎进一步降低了违规风险,这些扫描引擎可查找硬编码机密、IAC 错误配置、代码泄漏等问题。 Cycode 的专利知识图可跟踪 SDLC 中的代码完整性、用户活动和事件,以发现异常并防止代码篡改。
Aikido Security
aikido.dev
Aikido Security 是一个以开发人员为中心的软件安全平台,提供高级代码扫描和云漏洞评估。我们的平台优先考虑真正的威胁,减少误报,并使常见漏洞和暴露 (CVE) 易于理解。借助合气道,确保产品的安全性变得简单,让您可以专注于自己最擅长的事情:编写代码。
Hubbl Diagnostics
hubbl.com
Hubbl Diagnostics 正在通过安全、自动化、机器学习驱动的组织智能为 Salesforce 的成功制定标准。 - 监控健康状况和绩效:立即获得组织的整体视图。 - 提高安全性:查明安全性和合规性风险。 - 解锁生态系统见解:针对行业标准进行基准测试。 - 采取行动:快速识别并解决您的高优先级问题。 - 简化流程:在 Salesforce 内优化您的业务流程。我们的解决方案为最高管理层、Salesforce 管理员、架构师和顾问提供有关任何 Salesforce 组织的最广泛、最可行的见解。解决技术债务、冗余自动化和不断扩大的组织复杂性,更快地获得 Salesforce 投资的最佳回报。 Hubbl Diagnostics 成立于 2022 年,由 Uncommon Purpose(以前称为 Traction on Demand)创建,该公司是一家位于加拿大温哥华的 Salesforce 产品开发和孵化器公司。
GuardRails
guardrails.io
GuardRails 是一个端到端安全平台,可让安全和开发团队更轻松地使用 AppSec。我们扫描、检测并提供实时指导以尽早修复漏洞。 GuardRails 受到全球数百个团队的信赖,可以构建更安全的应用程序,它可以无缝集成到开发人员的工作流程中,在编码时安静地进行扫描,并展示如何通过即时培训现场解决安全问题。 GuardRails 致力于保持低噪音,仅报告与您的组织相关的高影响漏洞。 GuardRails 帮助组织将安全性转移到各处并构建强大的 DevSecOps 管道,以便他们可以更快地进入市场,而不会冒安全风险。
JFrog
jfrog.com
快速交付值得信赖的软件。唯一的软件供应链平台,可为您提供端到端的可见性、安全性和控制,以自动交付可信版本。 可大规模扩展的混合 JFrog 平台开放、灵活,并与构成软件供应链的所有成套技术和工具集成。 组织受益于对任何类型的发布和部署环境的完全可追溯性,包括机器学习模型、在边缘运行的软件以及在生产数据中心部署的软件。