Gitlab英雄边框图案左侧SVG Gitlab英雄边框图案右svg 背景波
GitLab
vs
Checkmarx
决策工具
决策工具
Checkmarx VS gitlab

总结

Checkmarx是一家植根于SAST的老牌公司。他们被认为是Gartner应用程序安全测试魔术象限的领导者。

比较GitLab

虽然Checkmarx已经较为成熟SAST产品,GitLab提供的安全能力,包括DAST和模糊测试的范围更广。GitLab的功能集成进来与GitLab其余出的现成的,不需要任何特殊的集成,留给开发团队的工作流程转变。GitLab客户报告GitLab一般具有较好的假阳性率比Checkmarx,试图找到真正的漏洞,真正的问题时节省时间。Checkmarx的安全市场和深SAST能力建立位置由GitLab的较低的价格点,并与软件开发生命周期的其他部分更紧密的集成抵消。

该Checkmarx视力是APPSEC厂商之间最接近GitLab,而是因为他们必须融入通过API SDLC的休息,他们对执行路径较为有限。此外,像其他厂商APPSEC,Checkmarx是昂贵的。它的价格每个开发人员与12个开发商的每年$ 59K美元或50个开发者每年$ 99K美元的粗略估计。Checkmarx使用Whitesource的依赖性扫描并收取每年一个额外的$ 12K美元的这个开源的扫描。

Checkmarx过人之处在于它们是情境感知,这意味着他们可以标记基于路径究竟是不是利用。GitLab缺乏这种能力。在另一方面,GitLab自动包括与每一个代码提交包括静态和动态应用程序安全测试广泛的安全扫描,以依赖扫描,集装箱扫描和许可证合规性一起。所有这一切都为单GitLab终极应用程序的一部分。

安全扫描

长处和短处

GitLab Checkmarx
优势 •成本比Checkmarx显著更便宜
•与开发人员工作流程紧密集成
•应用测试类型(SAST,DAST等)的完整系列默认包含
•相对较低的假阳性率
•跨越扫描类型提供强劲
与IDE和本地开发环境•良好的集成
•众所周知的,市场领先的产品SAST
弱点 •GitLab的SAST目前只提供扫描代码库,不能扫描编译后的二进制文件 •SCA本质上是一个全新的产品,只能作为他们的SAST产品的一个插manbetx体育客户端3.0件
•DAST仅作为通过合作伙伴托管服务
•模糊测试不提供
•每一种测试是软件的单独部件必须得到许可,管理,以及集成了DevOps的单独的生命周期
•操作系统支持运行Checkmarx软件运行于windows
•显着的调整是必需的,以减少误报

功能一览

GitLab Checkmarx
SAST
DAST 管理服务只
IAST
SCA:漏洞扫描
SCA:开源审核
模糊测试
特征比较
特征

静态应用程序安全测试

GitLab允许在CI/CD管道中轻松运行静态应用安全测试(SAST);检查应用程序包含的库中的易受攻击的源代码或众所周知的安全bug。结果显示在合并请求和管道视图中。此功能可作为的一部分汽车的DevOps提供security-by-default。

了解更多关于静态应用程序安全测试

揭秘检测

GitLab允许您在CI/CD管道中进行秘密检测;检查无意中提交的机密和凭证。结果显示在合并请求和管道视图中。此功能可作为的一部分汽车的DevOps提供security-by-default。

了解更多关于秘密侦查的信息

依赖扫描

GitLab自动检测由该应用程序包括了库众所周知的安全漏洞,保护您的应用程序从影响都是动态的依赖漏洞。结果显示在合并请求和管道视图中。此功能可作为的一部分汽车的DevOps提供security-by-default。

了解更多依赖扫描

集装箱扫描

当为您的应用程序构建Docker映像时,GitLab可以运行一个安全扫描,以确保它在您的代码交付的环境中没有任何已知的漏洞。结果显示在合并请求和管道视图中。此功能可作为的一部分汽车的DevOps提供security-by-default。

了解更多关于集装箱扫描

动态应用程序安全测试

一旦你的应用上线,GitLab允许在CI/CD管道中运行动态应用安全测试(DAST);您的应用程序将被扫描,以确保像XSS或损坏的身份验证缺陷这样的威胁不会影响到它。结果显示在合并请求和管道视图中。此功能可作为的一部分汽车的DevOps提供security-by-default。

了解有关容器的应用程序安全性的更多信息

交互式应用程序安全测试

IAST结合静态和动态应用程序安全测试方法的元素,以提高结果的整体质量。IAST通常使用代理来检测应用程序,以监视库调用等等。GitLab还没有提供这个功能。

许可证合规性

检查你的依赖许可证与应用程序兼容,并批准或拒绝它们。结果显示在合并请求和管道视图中。

了解更多关于许可证合规性

在按需动态应用程序安全测试

“没有理由等待下一个CI管道运行,以找出是否你的网站,如果脆弱或再现先前发现的漏洞。GitLab提供可以按需动态应用程序安全测试(DAST),独立的代码更改或合并请求扫描您运行的应用程序。”

了解更多关于点播DAST