Dynamische Anwendungssicherheitstest-Software (DAST) Ressourcen

Hallo zusammen,

ich habe einigen DevSecOps-Teams geholfen, Tools zu evaluieren, die DAST und SAST kombinieren, um sowohl Code- als auch Laufzeit-Schwachstellen in einem Workflow abzudecken. Ich habe Einblicke aus G2s Dynamic Application Security Testing (DAST)-Grid gezogen und sie mit Plattformen, die statische Code-Analyse anbieten, abgeglichen, um herauszufinden, welche am besten für integrierte Sicherheitstests geeignet sind.

Hier sind die Top-Tools, die man sich ansehen sollte:

• Tenable Nessus: starke DAST-Grundlage und integriert sich gut mit statischen Analysetools; ideal für Teams, die einheitliche Schwachstellen-Workflows aufbauen.
• Jit: DevSecOps-first-Plattform, die kontinuierliches DAST mit entwicklerzentriertem SAST kombiniert und ein vollständiges Bild der Schwachstellen über den gesamten SDLC bietet.
• Aikido Security: neuer, aber gut bewertet für die Kombination von SAST, SCA und DAST in einem einzigen automatisierten Sicherheits-Workflow.
• Akto: primär API-fokussiert, integriert jedoch sowohl DAST-Scans als auch statische Regelprüfungen für kontinuierliche Validierung.
• Astra Pentest: unterstützt sowohl dynamische als auch statische Tests mit automatisierten Scans und manuellen Validierungsoptionen.

Ich habe dies auf der Grundlage von G2-Zufriedenheits- und Funktionsdaten erstellt, wobei der Fokus auf Tools liegt, die Code-Sicherheit (SAST) und Laufzeitsicherheit (DAST) für CI/CD-Umgebungen verbinden.

Ich höre auch häufig Checkmarx One und GitLab Ultimate erwähnt, die statische und dynamische Tests kombinieren — benutzt jemand hier diese?

Hallo zusammen,

ich habe einigen DevSecOps-Teams geholfen, DAST (Dynamic Application Security Testing)-Tools zu evaluieren, die direkt in CI/CD-Pipelines integriert werden können – Sicherheitsüberprüfungen als Teil der kontinuierlichen Integration zu automatisieren, anstatt nach der Bereitstellung. Ich habe mir G2s neuestes DAST Software Grid angesehen, um herauszufinden, welche Tools in Bezug auf Echtzeit-Integration, Benutzerfreundlichkeit und allgemeine Zufriedenheit am besten abschneiden.

Hier sind die Top fünf (basierend auf dem G2-Score):

• Tenable Nessus: führt die Liste mit einer starken Marktpräsenz an; zuverlässig für Schwachstellen-Scans in verschiedenen Umgebungen und integriert sich gut in CI/CD-Pipelines.
• Jit: hohe Zufriedenheitswerte (89 %) und für DevSecOps-Workflows konzipiert; fügt sich nahtlos in CI/CD für automatisierte Tests und kontinuierliche Überwachung ein.
• Aikido Security: neu, aber schnell an Bedeutung gewinnend; gelobt für Einfachheit und automatisierte Scans innerhalb von Entwicklungs-Workflows.
• Akto: entwicklerfreundliche API-Sicherheitstests mit reibungsloser Integration in CI-Pipelines; gute Balance zwischen Genauigkeit und Geschwindigkeit.
• Astra Pentest: ideal für Teams, die automatisierte und manuelle Tests kombinieren müssen; integriert sich in CI/CD und bietet detaillierte Schwachstellenberichte.

Ich habe dies auf der Grundlage von G2-Zufriedenheit und G2-Score-Daten erstellt, wobei der Fokus auf Plattformen mit bewährten Integrationen für kontinuierliche Sicherheitstests lag. Wenn das Ziel Ihres Teams darin besteht, Schwachstellen früher im Veröffentlichungszyklus zu erkennen, stechen diese fünf durch die Balance von Genauigkeit, Automatisierung und Entwicklererfahrung hervor. Meine Frage an die Community: Welche dieser DAST-Tools haben sich tatsächlich reibungslos in Ihre CI/CD-Pipelines integriert, ohne Builds zu verlangsamen oder Sie mit Fehlalarmen zu überfluten? Ich würde gerne von Ihnen hören!

Wofür wird Checkmarx verwendet?