GitLab
gitlab.com
GitLab 是一个基于 Web 的 DevOps 生命周期工具,提供 Git 存储库管理器,提供 wiki、问题跟踪以及持续集成和部署管道功能,使用开源许可证,由 GitLab Inc. 开发。该软件由乌克兰开发人员 Dmitriy 创建Zaporozhets 和 Valery Sizov。代码最初是用 Ruby 编写的,后来用 Go 重写了某些部分,最初作为源代码管理解决方案,用于在软件开发团队中进行协作。后来演变为覆盖软件开发生命周期的集成解决方案,进而发展到整个DevOps生命周期。目前的技术栈包括Go、Ruby on Rails和Vue.js。 它遵循开放核心开发模型,其中核心功能在开源 (MIT) 许可证下发布,而附加功能则在专有许可证下发布。
Codacy
codacy.com
Codacy 帮助构建高质量、安全的应用程序。您可以轻松启动并运行,并立即开始提高质量、测试覆盖率和安全性。 Codacy 是一种即插即用的解决方案,可以轻松快速地加入和扩展团队的项目。 - 在几分钟内开始扫描 git 存储库和代码更改 - 可预测的基于用户的定价模型 - 适用于超过 49 种语言和框架
Synack
synack.com
按需安全的首要平台。 PTaaS 渗透测试即服务。进攻性安全测试可随着时间的推移改善您的安全状况 一个平台,多种用途。期望战略渗透测试能够提供完全的控制和可见性,揭示安全计划中的模式和缺陷,使组织能够改善整体安全状况,并为领导层和董事会提供执行级别的报告。 Synack 的智能安全测试平台包括自动化和增强智能增强功能,可实现更大的攻击面覆盖范围、持续测试和更高的效率,从而为您面临的挑战提供更多见解。该平台全天候 24/7/365 无缝地协调人类测试人才和智能扫描的最佳组合,一切都在您的控制之下。与往常一样,Synack 不仅部署精英 Synack Red Team (SRT) 来测试您的资产,现在还同时部署 SmartScan 或与您公司的扫描仪应用工具集成。 Synack 的 SmartScan 产品利用我们平台的专有扫描仪 Hydra 不断发现 SRT 的可疑漏洞,然后对 SRT 进行分类以获得一流的结果。除此之外,我们还通过众包渗透测试提供了更高级别的测试严格性,其中 SRT 研究人员主动寻找漏洞并完成合规性检查表。他们使用自己的工具和技术,提供了无与伦比的人类创造力和严谨性。在利用 Synack 平台对所有应用程序执行高水平、自动化评估并激励 Synack 红队持续、创造性地保持参与的同时,Synack 提供了人类智能和人工智能的独特结合,从而产生最有效、最高效的众包市场渗透测试。此外,现已在 FedRAMP 和 Azure 市场上提供:Synack 平台提供渗透测试即服务 (PTaaS)
Pentest Tools
pentest-tools.com
Pentest-Tools.com 是一个基于云的攻击性安全测试工具包,专注于 Web 应用程序和网络渗透测试。
Semgrep
semgrep.dev
Semgrep 是一个为安全工程师和开发人员构建的高度可定制的应用程序安全平台。 Semgrep 扫描第一方和第三方代码以查找组织特有的安全问题,重点是以闪电般的速度呈现可操作、低噪音且开发人员友好的结果。 Semgrep 专注于置信度评级和可达性,这意味着安全团队可以放心地让开发人员直接参与其工作流程(例如,在 PR 评论中显示发现的结果),并且 Semgrep 与 CI 和 SCM 工具无缝集成,以自动化这些策略。借助 Semgrep,安全团队可以向左移动并扩展其程序,而对开发人员速度的影响为零。凭借 3400 多个开箱即用的规则以及轻松创建自定义规则的能力,Semgrep 加快了实施和扩展一流 AppSec 计划所需的时间,同时从第一天起就增加了价值。
HostedScan
hostedscan.com
HostedScan 提供 24x7 警报和安全漏洞检测。行业标准、开源、漏洞扫描。当事情发生变化时自动发出警报。手动管理目标列表或从具有只读访问权限的提供商(例如 AWS、DigitalOcean 和 Linode)自动导入。通过仪表板和报告来管理和审计风险。
Intruder
intruder.io
Intruder 是一个攻击面管理平台,使组织能够发现、检测和修复网络中任何易受攻击的资产的弱点。它通过使用我们内部安全团队的专家建议定制多个行业领先扫描仪的输出,持续提供可行的补救建议。
Detectify
detectify.com
为 AppSec 和 ProdSec 团队提供完整的外部攻击面管理, 通过严格的发现、99.7% 准确的漏洞评估以及通过可行的指导加速修复来开始覆盖您的外部攻击面,所有这些都来自一个完整的独立 EASM 平台。
Astra
getastra.com
Astra 的 Pentest 是一个全面的渗透测试解决方案,具有智能自动化漏洞扫描器和深入的手动渗透测试。我们的 Pentest 平台模拟黑客行为,主动发现应用程序中的关键漏洞。自动扫描仪执行 10,000 多项安全检查,包括对 OWASP Top 10 和 SANS 25 中列出的所有 CVE 进行安全检查。它还执行所有必需的测试,以符合 ISO 27001 和 HIPAA。 Astra 提供了一个开发人员友好的渗透测试仪表板,可以轻松分析漏洞、将漏洞分配给团队成员并与安全专家协作。如果用户不想每次都返回仪表板,他们可以简单地将仪表板与 Slack 集成并轻松管理漏洞。将 Astra 与您的 CI/CD 管道集成,并确保软件开发生命周期中的漏洞评估。 Astra 可以与 Circle CI、Slack、Jenkins、Gitlab、Github、Azure 和 bitbucket 集成。凭借准确的风险评分、零误报和彻底的补救指南,Astra 的 Pentest 可以帮助您确定修复的优先级、有效地分配资源并最大化投资回报率。 Astra 持续合规性扫描可确保您始终符合(SOC2、ISO27001、PCI、GDPR 等)
Immersive Labs
immersivelabs.com
Immersive Labs 是以人为本的网络弹性领域的领导者。我们帮助组织持续评估、建立和证明整个组织团队(从一线网络安全和开发团队到董事会级高管)的网络劳动力弹性。我们提供真实的模拟和动手网络安全实验室,以评估个人和团队针对最新威胁的能力和决策。组织现在可以通过与行业基准相比衡量其准备情况、构建团队能力以及展示风险降低和对数据支持证据的合规性来证明其网络弹性。 Immersive Labs 受到世界上最大的组织和政府的信任,包括花旗、辉瑞、Humana、Kroll、沃达丰和伦敦交通局。我们得到了高盛资产管理公司、Summit Partners、Insight Partners、Citi Ventures 和 Menlo Ventures 的支持。您想衡量并证明您的网络能力吗?立即预订演示:www.immersivelabs.com
Secure Code Warrior
securecodewarrior.com
Secure Code Warrior 是开发人员选择的解决方案,用于增强强大的安全编码技能。通过使安全成为一种积极且引人入胜的体验,Secure Code Warrior 以人为本的方法揭示了每个编码人员内部的安全之星,帮助开发团队更快地交付高质量代码,以便您可以专注于为我们的世界创建令人惊叹的安全软件。我们关心不安全编码对世界的影响,并自豪地将我们独特的创造力、平易近人性和乐趣风格带入这一事业,使学习安全编码成为一种积极的体验。通过激励全球具有安全意识的开发人员社区采用预防性安全编码方法,我们的使命是开创一种以人为本的安全技能提升解决方案,永久消除不良编码模式。 Secure Code Warrior® 学习平台包括交互式游戏化培训、团队锦标赛、在线评估、实时辅导以及针对每个技能级别的情境微学习。您的开发人员将热衷于通过超相关的语言来提高他们的安全编码技能和知识:框架特定的交互式编码挑战。学习资源 - 开始了解安全基础知识和应用程序安全概念。 160 多个电子学习视频和演示资源,涵盖安全基础知识、移动和 Web 应用程序安全弱点。培训——使用交互式语言培养安全编码技能:特定于框架的编码挑战。提高识别漏洞及其工作方式的意识,提高在代码审查期间定位漏洞的技能,最后,了解如何缓解和修复漏洞。课程 - 精心策划的学习途径,可在您的整体网络安全计划中培养能力。配置和分配培训活动,以帮助实现合规性要求,例如 NIST 和 PCI-DSS 或针对特定技能差距 锦标赛 - 提高安全编码意识并推动持续参与。举办具有竞争力和吸引力的活动,让整个编码社区参与进来。评估 - 在完全可定制和可控的环境中验证安全编码技能。请相信您的开发人员在保护代码方面具有基本的能力。对现有开发人员、离岸开发人员、新员工和毕业生的安全编码技能进行资格鉴定和基线评估。数据和见解 - 报告以跟踪和监控整个组织的培训进度,包括合规性审核要求的评估结果。特定于角色的仪表板、预构建的报告和报告 API 让您可以轻松衡量和分析个人、团队和公司的绩效以及技能发展。开放集成 - 连接您的核心业务系统以简化您的工作流程。通过使用 RESTful API 以编程方式管理用户并在现有工具集中构建管理报告,简化用户管理并节省时间。
prooV
proov.io
借助 prooV Red Cloud,您可以在实施之前评估技术在网络攻击情况下将如何反应。这是一个量身定制的基于云的环境,使您可以灵活地对您正在测试的任何类型的软件执行复杂的网络安全攻击。您可以将 Red Cloud 与 PoC 平台结合使用,将红队测试纳入您的初始软件测试和评估过程中,也可以单独使用它。
Probely
probely.com
Probely 是一款 Web 漏洞扫描程序,使客户能够轻松测试其 Web 应用程序和 API 的安全性。我们的目标是通过使安全性成为 Web 应用程序开发生命周期的固有特征来缩小开发、安全性和运营之间的差距,并且仅报告重要的安全漏洞、无误报并提供有关如何修复这些漏洞的简单说明。 Probely 允许安全团队通过将安全测试转移到开发或 DevOps 团队来有效地扩展安全测试。我们适应客户的内部流程并将 Probely 集成到他们的堆栈中。探针扫描 Restful API、网站和复杂的 Web 应用程序,包括丰富的 Javascript 应用程序,例如单页应用程序 (SPA)。它可检测超过 20,000 个漏洞,包括 SQL 注入、跨站脚本 (XSS)、Log4j、操作系统命令注入和 SSL/TLS 问题。
Beagle Security
beaglesecurity.com
Beagle Security 可帮助您识别 Web 应用程序、API、GraphQL 中的漏洞,并在黑客以任何方式伤害您之前通过可行的见解进行修复。借助 Beagle Security,您可以将自动化渗透测试集成到 CI/CD 管道中,以便在开发生命周期的早期识别安全问题并交付更安全的 Web 应用程序。主要功能: - 检查您的 Web 应用程序和 API 的 3000 多个测试用例,以查找安全漏洞 - OWASP 和 SANS 标准 - 解决安全问题的建议 - 通过登录对复杂的 Web 应用程序进行安全测试 - 合规性报告(GDPR、HIPAA 和 PCI DSS) -测试调度 - DevSecOps 集成 - API 集成 - 团队访问 - 与 Slack、Jira、Asana、Trello 和 100 多个其他工具等流行工具集成
Webscale
webscale.com
概述 Webscale 是现代商业的云平台,为全球品牌提供安全性、可扩展性、性能和自动化。 Webscale SaaS 平台利用自动化和 DevOps 协议来简化多云环境中基础设施的部署、管理和维护,包括 Amazon Web Services、Google Cloud Platform 和 Microsoft Azure。 Webscale 为十二个国家和八家财富 1000 强企业的数千个 B2C、B2B 和 B2E 电子商务店面提供支持,并在加利福尼亚州圣克拉拉、科罗拉多州博尔德、德克萨斯州圣安东尼奥、印度班加罗尔和英国伦敦设有办事处。
Avatao
avatao.com
Avatao 的安全培训不仅仅是简单的教程和视频,还为开发团队、安全冠军、渗透测试人员、安全分析师和 DevOps 团队提供与工作相关的交互式学习体验。该平台拥有 10 多种语言的 750 多个挑战和教程,涵盖了从 OWASP Top 10 到 DevSecOps 和密码学的整个安全堆栈中的广泛安全主题。 Avatao 的安全编码培训让开发人员沉浸在备受瞩目的案例中,并为他们提供应对具有挑战性的安全漏洞的真实、深入的经验。工程师实际上将学会自己破解和修补错误。通过这种方式,Avatao 为软件工程团队提供了安全思维,提高了他们降低风险并更快地对已知漏洞做出反应的能力。这反过来又提高了公司运送高质量产品的安全能力。
SecureFlag
secureflag.com
在 SecureFlag,我们通过实践实验室教授安全编码,这些实验室在按需创建并可通过 Web 浏览器使用的真实、完全配置的开发环境中运行。开发人员、DevOps 和 QA 工程师通过游戏化的自适应培训平台学习防御性编程,该平台包括学习路径、锦标赛、评估和强大的指标。我们的平台是 100% 实践性的,取代了无效的安全编码测验,并使用能够实时测试代码更改的引擎,立即显示代码是否已修复并在练习完成后奖励积分。 SecureFlag 是值得骄傲的 OWASP 合作伙伴,为所有 OWASP 成员提供培训,并为企业客户提供企业版。
RangeForce
rangeforce.com
RangeForce 是一个可扩展的基于云的平台,为网络安全和 IT 运营专业人员提供可实际测量的模拟培训。
Phidata
phidata.com
用于构建、发布和监控代理系统的开源平台。
Contrast Security
contrastsecurity.com
Contrast Security 是运行时应用程序安全领域的全球领导者,将代码分析和攻击预防直接嵌入到软件中。 Contrast 的专利安全仪器通过集成且全面的安全可观察性颠覆了传统的 AppSec 方法,可为整个应用程序组合提供高度准确的评估和持续保护。 Contrast 运行时安全平台支持强大的应用程序安全测试以及应用程序检测和响应,使开发人员、AppSec 团队和 SecOps 团队能够更好地保护和防御其应用程序免受不断变化的威胁环境的影响。应用程序安全计划需要现代化,而 Contrast 使团队能够充满信心地进行创新。
AppSecEngineer
appsecengineer.com
应用安全、云安全和 DevSecOps 方面的最佳实践培训。我们为您的员工提供保护您的组织所需的技能培训。规模化。
Cobalt
cobalt.io
Cobalt 结合了最优秀的人类安全人才和有效的安全工具。我们的端到端进攻性安全解决方案使客户能够在动态变化的攻击面中修复风险。我们以渗透测试的速度和质量而闻名,在客户需求的推动下,我们现在提供广泛的测试产品和安全服务来支持应用安全和信息安全团队的需求。自 2013 年以来,我们已获得超过 10,000 项资产,仅 2023 年就进行了 4,000 多次渗透测试。超过 1,300 家客户依赖 Cobalt,以及我们由 450 名精英渗透测试人员组成的 Cobalt 核心。我们的专家测试人员平均拥有 11 年经验并持有顶级认证。将核心知识与专门构建的 Cobalt 平台相结合,我们通过任何参与提供持续协作,包括实时结果报告、访问攻击面监控和动态应用程序安全测试 (DAST),以及集成到 50 多个包括 Slack、Jira 和 ServiceNow 在内的业务系统,以加快修复工作。
Akto
akto.io
Akto 是一个值得信赖的平台,可供应用程序安全和产品安全团队在整个 DevSecOps 管道中构建企业级 API 安全计划。我们业界领先的 API 发现、API 安全态势管理、敏感数据暴露和 API 安全测试解决方案套件使组织能够了解其 API 安全态势。全球有 1,000 多个应用程序安全团队信任 Akto 来满足他们的 API 安全需求。 Akto 用例: 1. API 发现 2. CI/CD 中的 API 安全测试 3. API 安全态势管理 4. 身份验证和授权测试 5. 敏感数据暴露 6. DevSecOps 中的左移
Aikido Security
aikido.dev
Aikido Security 是一个以开发人员为中心的软件安全平台,提供高级代码扫描和云漏洞评估。我们的平台优先考虑真正的威胁,减少误报,并使常见漏洞和暴露 (CVE) 易于理解。借助合气道,确保产品的安全性变得简单,让您可以专注于自己最擅长的事情:编写代码。
GuardRails
guardrails.io
GuardRails 是一个端到端安全平台,可让安全和开发团队更轻松地使用 AppSec。我们扫描、检测并提供实时指导以尽早修复漏洞。 GuardRails 受到全球数百个团队的信赖,可以构建更安全的应用程序,它可以无缝集成到开发人员的工作流程中,在编码时安静地进行扫描,并展示如何通过即时培训现场解决安全问题。 GuardRails 致力于保持低噪音,仅报告与您的组织相关的高影响漏洞。 GuardRails 帮助组织将安全性转移到各处并构建强大的 DevSecOps 管道,以便他们可以更快地进入市场,而不会冒安全风险。
SOOS
soos.io
应用安全态势管理平台 您组织的应用程序安全状况不应只是一个清单。 SOOS 的 ASPM 是一种动态、全面的方法,可保护您的应用程序基础架构在整个软件开发生命周期 (SDLC) 和实时部署中免受漏洞影响。一切尽在一个仪表板中。
Escape
escape.tech
在 DevSecOps 流程中大规模查找并修复 GraphQL 安全缺陷。 利用新一代 DAST 和 ASM 在 GraphQL 中进行早期实时业务逻辑漏洞检测和修复,增强从开发到部署的安全性。
Symbiotic Security
symbioticsec.ai
Symbiotic Security 是一个 IDE 插件,允许开发人员实时拼写检查其代码中的漏洞,在编写代码时提供即时检测和规范性修复建议。该插件还通过游戏化、夺旗式挑战为已识别的漏洞提供上下文、即时培训。
SecDim
secdim.com
世界上第一个学习安全编码的存储库内攻击和防御战争游戏。识别、利用和修复受现实事件启发的现代安全漏洞。使用您最喜欢的 IDE 和工具,或者直接在浏览器中利用我们的云开发环境。无缝地调试、修补和测试您的代码。体验攻击和防御安全编码挑战,发现其他人安全补丁中的弱点。挑战自己的黑客和修补技能的极限。
SafeStack
safestack.io
SafeStack 是一个以社区为中心的在线教育平台,为软件开发团队提供所需的技能和支持,让他们在软件开发生命周期(从最初的想法到最终产品)(代码的整个生命周期)中始终保持安全。保护您设计和构建的软件并轻松满足合规性。 SafeStack 通过设计帮助各种规模的组织确保安全。
