# Migliori Software di Test Dinamico di Sicurezza delle Applicazioni (DAST)

  *By [Lauren Worth](https://research.g2.com/insights/author/lauren-worth)*

   Gli strumenti di test di sicurezza delle applicazioni dinamiche (DAST) automatizzano i test di sicurezza per una varietà di minacce del mondo reale. Questi strumenti testano tipicamente le interfacce HTTP e HTML delle applicazioni web. DAST è un metodo di test di tipo black-box, il che significa che viene eseguito dall&#39;esterno. Le aziende utilizzano questi strumenti per identificare le vulnerabilità nelle loro applicazioni da una prospettiva esterna per simulare meglio le minacce più facilmente accessibili dagli hacker al di fuori della loro organizzazione. Ci sono somiglianze tra gli strumenti DAST e altre soluzioni di gestione della sicurezza e delle vulnerabilità delle applicazioni, ma la maggior parte delle altre tecnologie esegue test interni e analisi del codice invece di concentrarsi sui test di tipo black-box.

[SAST vs DAST](https://research.g2.com/blog/sast-vs-dast) — Scopri la differenza

Per qualificarsi per l&#39;inclusione nella categoria dei test di sicurezza delle applicazioni dinamiche (DAST), un prodotto deve:

- Testare le applicazioni nel loro stato operativo
- Eseguire test di sicurezza esterni di tipo black-box
- Tracciare le penetrazioni e gli exploit alle loro fonti


## Category Overview

**Total Products under this Category:** 92


## Trust & Credibility Stats

**Perché puoi fidarti delle classifiche software di G2:**

- 30 Analisti ed Esperti di Dati
- 3,500+ Recensioni autentiche
- 92+ Prodotti
- Classifiche Imparziali

Le classifiche software di G2 si basano su recensioni verificate degli utenti, moderazione rigorosa e una metodologia di ricerca coerente mantenuta da un team di analisti ed esperti di dati. Ogni prodotto è misurato utilizzando gli stessi criteri trasparenti, senza posizionamenti a pagamento o influenze dei venditori. Sebbene le recensioni riflettano esperienze reali degli utenti, che possono essere soggettive, offrono preziose informazioni su come il software si comporta nelle mani dei professionisti. Insieme, questi input alimentano il G2 Score, un modo standardizzato per confrontare gli strumenti all'interno di ogni categoria.


## Best Software di Test Dinamico di Sicurezza delle Applicazioni (DAST) At A Glance

- **Leader:** [Burp Suite](https://www.g2.com/it/products/burp-suite/reviews)
- **Miglior performer:** [Aikido Security](https://www.g2.com/it/products/aikido-security/reviews)
- **Più facile da usare:** [Qodex.ai](https://www.g2.com/it/products/qodex-ai/reviews)
- **Più in voga:** [Aikido Security](https://www.g2.com/it/products/aikido-security/reviews)
- **Miglior software gratuito:** [Tenable Nessus](https://www.g2.com/it/products/tenable-nessus/reviews)


---

**Sponsored**

### Proscan

Proscan è una piattaforma unificata di sicurezza delle applicazioni progettata per aiutare le organizzazioni a semplificare la gestione dei loro strumenti di sicurezza. Integrando più soluzioni autonome in un&#39;unica esperienza coesa, Proscan fornisce una visibilità completa della sicurezza su tutto lo stack software. Questa piattaforma sostituisce la complessità della gestione di vari strumenti per l&#39;analisi statica, il test dinamico e la scansione delle dipendenze, permettendo ai team di concentrarsi sulla costruzione di applicazioni sicure senza il fastidio di gestire sistemi disparati. La piattaforma è particolarmente vantaggiosa per i team di sicurezza, gli sviluppatori e i leader ingegneristici che richiedono una visione consolidata dei rischi di sicurezza delle applicazioni. Proscan combina nove scanner di sicurezza specializzati, tra cui il Static Application Security Testing (SAST), che analizza il codice sorgente in oltre 30 linguaggi di programmazione utilizzando metodi di rilevamento avanzati. Il Dynamic Application Security Testing (DAST) migliora ulteriormente la sicurezza testando le applicazioni live, identificando vulnerabilità che possono diventare evidenti solo durante il runtime. Inoltre, il Software Composition Analysis (SCA) valuta le dipendenze open-source in 196 ecosistemi di pacchetti, aiutando le organizzazioni a rilevare vulnerabilità note prima che possano influire sugli ambienti di produzione. Le capacità di Proscan si estendono oltre l&#39;analisi del codice. Include la scansione per segreti hardcoded, configurazioni errate in Infrastructure-as-Code e vulnerabilità nelle immagini dei container. La piattaforma offre anche test di sicurezza API che convalidano gli endpoint rispetto all&#39;OWASP API Security Top 10, garantendo una protezione robusta per le applicazioni che utilizzano API. Per le organizzazioni che sviluppano applicazioni basate sull&#39;intelligenza artificiale, Proscan dispone di uno scanner di sicurezza dedicato all&#39;AI e LLM che identifica potenziali rischi associati a iniezioni di prompt e altre vulnerabilità, utilizzando oltre 4.600 tecniche mappate all&#39;OWASP LLM Top 10. L&#39;intelligenza artificiale gioca un ruolo cruciale nel migliorare l&#39;efficienza e l&#39;accuratezza di Proscan. La piattaforma utilizza algoritmi di machine learning per ridurre i falsi positivi e dare priorità alle vulnerabilità in base al loro potenziale impatto. Questo approccio intelligente consente ai team di concentrarsi sui problemi di sicurezza più critici fornendo spiegazioni chiare e indicazioni di rimedio attuabili. Proscan si integra perfettamente nei flussi di lavoro di sviluppo esistenti, offrendo plugin IDE e integrazioni native CI/CD che garantiscono che i controlli di sicurezza facciano parte del processo di sviluppo senza causare interruzioni. La prontezza alla conformità è un&#39;altra caratteristica chiave di Proscan, poiché genera report pronti per l&#39;audit allineati con i principali standard di sicurezza, tra cui OWASP Top 10, PCI DSS, HIPAA e GDPR. Questa raccolta automatizzata di prove semplifica il processo di conformità, fornendo alle organizzazioni la documentazione necessaria in vari formati. Proscan è progettato per i team di sicurezza che cercano di consolidare catene di strumenti frammentate, sviluppatori che necessitano di feedback rapidi e fornitori di servizi di sicurezza gestiti che gestiscono ambienti di più clienti, rendendolo una soluzione versatile per le sfide moderne della sicurezza delle applicazioni.


[Visita il sito web dell&#39;azienda](https://www.g2.com/it/external_clickthroughs/record?secure%5Bad_program%5D=paid_promo&amp;secure%5Bad_slot%5D=category_product_list&amp;secure%5Bcategory_id%5D=1521&amp;secure%5Bmedium%5D=sponsored&amp;secure%5Bprioritized%5D=false&amp;secure%5Bproduct_id%5D=1777455&amp;secure%5Bresource_id%5D=1521&amp;secure%5Bresource_type%5D=Category&amp;secure%5Bsource_type%5D=category_page&amp;secure%5Bsource_url%5D=https%3A%2F%2Fwww.g2.com%2Fit%2Fcategories%2Fdynamic-application-security-testing-dast&amp;secure%5Btoken%5D=fb0666e7b2ae04daa5e1eb0b960737b9c073bac9e226e02fbf5ccfb81b8a3d1a&amp;secure%5Burl%5D=https%3A%2F%2Fwww.proscan.one%2Fpricing&amp;secure%5Burl_type%5D=paid_promos)

---

## Top-Rated Products (Ranked by G2 Score)
  ### 1. [Aikido Security](https://www.g2.com/it/products/aikido-security/reviews)
  Aikido Security è la piattaforma di sicurezza orientata agli sviluppatori che unifica codice, cloud, protezione e test di attacco in una suite di prodotti di classe superiore. Costruita da sviluppatori per sviluppatori, Aikido aiuta team di qualsiasi dimensione a distribuire software sicuro più velocemente, automatizzare la protezione e simulare attacchi reali con precisione guidata dall&#39;IA. L&#39;IA proprietaria della piattaforma riduce il rumore del 95%, offre correzioni con un clic e fa risparmiare agli sviluppatori oltre 10 ore a settimana. Aikido Intel scopre proattivamente vulnerabilità nei pacchetti open source prima della divulgazione, contribuendo a proteggere oltre 50.000 organizzazioni in tutto il mondo, tra cui Revolut, Niantic, Visma, Montblanc e GoCardless.


  **Average Rating:** 4.6/5.0
  **Total Reviews:** 139

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.4/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 8.3/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 10.0/10 (Category avg: 8.7/10)
- **Automazione dei test:** 10.0/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [Aikido Security](https://www.g2.com/it/sellers/aikido-security)
- **Sito web dell&#39;azienda:** https://aikido.dev
- **Anno di Fondazione:** 2022
- **Sede centrale:** Ghent, Belgium
- **Twitter:** @AikidoSecurity (6,187 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/aikido-security/ (175 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Who Uses This:** CTO, Founder
  - **Top Industries:** Software per computer, Tecnologia dell&#39;informazione e servizi
  - **Company Size:** 71% Piccola impresa, 17% Mid-Market


#### Pros & Cons

**Pros:**

- Ease of Use (78 reviews)
- Security (55 reviews)
- Features (52 reviews)
- Easy Integrations (47 reviews)
- Easy Setup (47 reviews)

**Cons:**

- Missing Features (19 reviews)
- Expensive (17 reviews)
- Limited Features (16 reviews)
- Pricing Issues (15 reviews)
- Lacking Features (14 reviews)

  ### 2. [Tenable Nessus](https://www.g2.com/it/products/tenable-nessus/reviews)
  Costruiti per i professionisti della sicurezza, dai professionisti della sicurezza, i prodotti Nessus di Tenable sono lo standard de facto del settore per la valutazione delle vulnerabilità. Nessus esegue valutazioni puntuali per aiutare i professionisti della sicurezza a identificare e correggere rapidamente e facilmente le vulnerabilità, inclusi difetti del software, patch mancanti, malware e configurazioni errate - su una varietà di sistemi operativi, dispositivi e applicazioni. Con funzionalità come politiche e modelli predefiniti, report personalizzabili, funzionalità di &quot;snooze&quot; di gruppo e aggiornamenti in tempo reale, Nessus è progettato per rendere la valutazione delle vulnerabilità semplice, facile e intuitiva. Il risultato: meno tempo e sforzo per valutare, dare priorità e risolvere i problemi.


  **Average Rating:** 4.5/5.0
  **Total Reviews:** 287

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 8.7/10 (Category avg: 9.2/10)


**Seller Details:**

- **Venditore:** [Tenable](https://www.g2.com/it/sellers/tenable)
- **Sito web dell&#39;azienda:** https://www.tenable.com/
- **Sede centrale:** Columbia, MD
- **Twitter:** @TenableSecurity (87,575 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/25452/ (2,357 dipendenti su LinkedIn®)
- **Proprietà:** NASDAQ: TENB

**Reviewer Demographics:**
  - **Who Uses This:** Security Engineer, Network Engineer
  - **Top Industries:** Tecnologia dell&#39;informazione e servizi, Sicurezza informatica e di rete
  - **Company Size:** 40% Mid-Market, 34% Enterprise


#### Pros & Cons

**Pros:**

- Vulnerability Identification (21 reviews)
- Vulnerability Detection (19 reviews)
- Automated Scanning (18 reviews)
- Ease of Use (17 reviews)
- Features (15 reviews)

**Cons:**

- Slow Scanning (8 reviews)
- Expensive (6 reviews)
- Limited Features (6 reviews)
- Complexity (5 reviews)
- False Positives (5 reviews)

  ### 3. [Qodex.ai](https://www.g2.com/it/products/qodex-ai/reviews)
  Qodex.ai | Test e Sicurezza delle API Alimentati dall&#39;Intelligenza Artificiale Qodex.ai è un agente AI progettato appositamente per l&#39;automazione dei test e della sicurezza delle API. Aiuta i team di ingegneria a spedire più velocemente e in modo più sicuro trasformando richieste in inglese semplice in suite di test complete ed eseguibili senza alcuna scrittura manuale di script o configurazione QA. Pensalo come un Cursore per le API. Gli ingegneri descrivono ciò che vogliono testare e Qodex.ai genera istantaneamente casi di test funzionali, di regressione e di sicurezza end-to-end mappati a flussi di lavoro reali. I test si eseguono automaticamente, rimangono aggiornati e si auto-riparano man mano che il tuo codice evolve, risparmiando ai team ore di manutenzione e tempo di revisione. Già fidato da oltre 100 aziende enterprise e di mercato medio, Qodex.ai sta ridefinendo il modo in cui i team moderni raggiungono la qualità continua delle API, la rilevazione delle vulnerabilità e la conformità su larga scala utilizzando la potenza dell&#39;IA.


  **Average Rating:** 4.9/5.0
  **Total Reviews:** 60

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.4/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 8.3/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 8.3/10 (Category avg: 8.7/10)
- **Automazione dei test:** 10.0/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [QodexAI](https://www.g2.com/it/sellers/qodexai)
- **Sito web dell&#39;azienda:** https://www.qodex.ai/
- **Anno di Fondazione:** 2023
- **Sede centrale:** San Francisco, California
- **Pagina LinkedIn®:** https://linkedin.com/company/qodexai (12 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Top Industries:** Software per computer, Tecnologia dell&#39;informazione e servizi
  - **Company Size:** 75% Piccola impresa, 20% Mid-Market


#### Pros & Cons

**Pros:**

- Ease of Use (23 reviews)
- Automation (17 reviews)
- Testing (17 reviews)
- Testing Efficiency (17 reviews)
- Helpful (13 reviews)

**Cons:**

- Slow Loading (6 reviews)
- Poor Documentation (5 reviews)
- Slow Performance (5 reviews)
- Bug Issues (4 reviews)
- Bugs (4 reviews)

  ### 4. [Burp Suite](https://www.g2.com/it/products/burp-suite/reviews)
  Burp Suite è un ecosistema completo per il test di sicurezza delle applicazioni web e delle API, che combina due prodotti: Burp Suite DAST - una soluzione DAST di precisione all&#39;avanguardia che automatizza i test in tempo reale, e Burp Suite Professional - il toolkit standard del settore per i test di penetrazione manuali. Sviluppato da PortSwigger, più di 85.000 professionisti della sicurezza si affidano a Burp Suite per trovare, verificare e comprendere le vulnerabilità nelle moderne applicazioni web complesse. Burp Suite DAST è la soluzione di test di sicurezza delle applicazioni dinamiche (DAST) aziendale di PortSwigger, progettata appositamente per la scansione continua e automatizzata delle applicazioni web e delle API. A differenza di molte soluzioni DAST, che fanno parte di un&#39;offerta AST più ampia, Burp Suite DAST non è uno strumento aggiuntivo - è invece costruito con precisione su oltre 20 anni di esperienza nei test dinamici. Burp Suite DAST rivela i problemi in tempo reale che gli strumenti di analisi statica non rilevano, come i difetti di autenticazione, la deriva di configurazione e le vulnerabilità concatenate. Basato sullo stesso motore di scansione proprietario che alimenta Burp Suite Professional, fornisce risultati precisi e a basso rumore di cui i team di sicurezza si fidano. Le capacità chiave di Burp Suite DAST includono: scansione continua e automatizzata delle applicazioni web e delle API, integrazione con pipeline CI/CD e strumenti di gestione delle vulnerabilità, distribuzione flessibile su ambienti cloud e on-premise, logica di scansione e configurazioni condivise tra test automatizzati e manuali, rilevamento accurato e a basso rumore informato dalla ricerca di PortSwigger. Burp Suite Professional completa DAST con una profonda capacità di test manuale. È il toolkit standard del settore per i tester di penetrazione, i consulenti e gli ingegneri AppSec che necessitano di una visione completa e flessibilità quando convalidano o esplorano le vulnerabilità. I risultati scoperti da DAST possono essere indagati e verificati in Burp Suite Professional, garantendo che ogni risultato sia accurato, contestuale e azionabile. Insieme, Burp Suite DAST e Burp Suite Professional creano un ecosistema unificato che offre automazione in ampiezza e profondità manuale dove conta. Burp Suite è costruito per i team AppSec che necessitano di una copertura scalabile e affidabile in ambienti web e API, consentendo un passaggio senza soluzione di continuità tra test automatizzati e manuali.


  **Average Rating:** 4.8/5.0
  **Total Reviews:** 124

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.7/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 8.3/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 7.2/10 (Category avg: 8.7/10)
- **Automazione dei test:** 7.5/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [PortSwigger](https://www.g2.com/it/sellers/portswigger)
- **Sito web dell&#39;azienda:** https://www.portswigger.net
- **Anno di Fondazione:** 2008
- **Sede centrale:** Knutsford, GB
- **Twitter:** @Burp_Suite (137,013 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/portswigger-web-security/ (321 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Who Uses This:** Cyber Security Analyst
  - **Top Industries:** Sicurezza informatica e di rete, Tecnologia dell&#39;informazione e servizi
  - **Company Size:** 41% Mid-Market, 31% Piccola impresa


#### Pros & Cons

**Pros:**

- Ease of Use (12 reviews)
- User Interface (8 reviews)
- Testing Services (7 reviews)
- Features (5 reviews)
- Clear Interface (4 reviews)

**Cons:**

- Expensive (5 reviews)
- Slow Performance (5 reviews)
- High Learning Curve (2 reviews)
- Learning Curve (2 reviews)
- Limited Customization (2 reviews)

  ### 5. [Astra Pentest](https://www.g2.com/it/products/astra-pentest/reviews)
  Astra è un&#39;azienda leader nel penetration testing che fornisce PTaaS e capacità di gestione continua dell&#39;esposizione alle minacce. Le nostre soluzioni di cybersecurity complete combinano automazione ed esperienza manuale per eseguire oltre 15.000 test e controlli di conformità, garantendo sicurezza totale, indipendentemente dalla minaccia e dalla posizione dell&#39;attacco. Con una visione a 360° della postura di sicurezza di un&#39;organizzazione, approfondimenti proattivi continui, reportistica in tempo reale e strategie difensive basate sull&#39;IA, miriamo ad aiutare i CTO a spostarsi a sinistra su larga scala con pentest continui. Il motore di scansione offensivo, le integrazioni senza soluzione di continuità con lo stack tecnologico e il supporto esperto aiutano a rendere il pentesting semplice, efficace e senza problemi per oltre 1000 aziende in tutto il mondo. Inoltre, i nostri casi di test AI specifici per settore, il bot Astranaut di classe mondiale e i report personalizzabili sono progettati per rendere la tua esperienza più fluida risparmiando proattivamente milioni di dollari.


  **Average Rating:** 4.6/5.0
  **Total Reviews:** 179

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.2/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 8.3/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 8.9/10 (Category avg: 8.7/10)
- **Automazione dei test:** 8.8/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [ASTRA IT, Inc.](https://www.g2.com/it/sellers/astra-it-inc)
- **Sito web dell&#39;azienda:** https://www.getastra.com/
- **Anno di Fondazione:** 2018
- **Sede centrale:** New Delhi, IN
- **Twitter:** @getastra (690 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/getastra/ (120 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Who Uses This:** CTO, CEO
  - **Top Industries:** Software per computer, Tecnologia dell&#39;informazione e servizi
  - **Company Size:** 65% Piccola impresa, 30% Mid-Market


#### Pros & Cons

**Pros:**

- Customer Support (65 reviews)
- Vulnerability Detection (52 reviews)
- Ease of Use (51 reviews)
- Pentesting Efficiency (42 reviews)
- Vulnerability Identification (38 reviews)

**Cons:**

- Poor Customer Support (12 reviews)
- Poor Interface Design (10 reviews)
- Slow Performance (8 reviews)
- UX Improvement (7 reviews)
- False Positives (6 reviews)

  ### 6. [Invicti (formerly Netsparker)](https://www.g2.com/it/products/invicti-formerly-netsparker/reviews)
  Invicti è una soluzione automatizzata per il test di sicurezza delle applicazioni e delle API che consente alle organizzazioni aziendali di proteggere migliaia di siti web, applicazioni web e API, riducendo drasticamente il rischio di attacco. Dotando i team di sicurezza delle capacità di scansione DAST + IAST più uniche sul mercato, Invicti permette alle organizzazioni con ambienti complessi di automatizzare con fiducia la sicurezza delle loro applicazioni web e API. Con Invicti, i team di sicurezza possono: - Automatizzare le attività di sicurezza e risparmiare centinaia di ore ogni mese - Ottenere una visibilità completa su tutte le tue applicazioni — anche quelle che sono perse, dimenticate o nascoste - Fornire automaticamente ai sviluppatori un feedback rapido che li addestra a scrivere codice più sicuro — in modo che creino meno vulnerabilità nel tempo - Sentirsi sicuri di essere equipaggiati con lo strumento di scansione della sicurezza delle applicazioni più potente sul mercato Hai le esigenze di sicurezza più esigenti, e Invicti è la soluzione di sicurezza delle applicazioni di classe superiore che meriti.


  **Average Rating:** 4.6/5.0
  **Total Reviews:** 65

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.6/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 8.2/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 8.6/10 (Category avg: 8.7/10)
- **Automazione dei test:** 8.5/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [Invicti Security](https://www.g2.com/it/sellers/invicti-security-04cb0d3d-fd96-45b2-83dc-2038fc9dac92)
- **Sito web dell&#39;azienda:** https://www.invicti.com/
- **Anno di Fondazione:** 2018
- **Sede centrale:** Austin, Texas
- **Twitter:** @InvictiSecurity (2,549 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/invicti-security/people/ (332 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Top Industries:** Software per computer, Tecnologia dell&#39;informazione e servizi
  - **Company Size:** 47% Enterprise, 26% Mid-Market


#### Pros & Cons

**Pros:**

- Ease of Use (9 reviews)
- Scanning Technology (7 reviews)
- Features (6 reviews)
- Reporting Quality (6 reviews)
- Vulnerability Detection (6 reviews)

**Cons:**

- Poor Customer Support (3 reviews)
- Slow Performance (3 reviews)
- Slow Scanning (3 reviews)
- API Issues (2 reviews)
- Complex Setup (2 reviews)

  ### 7. [Intruder](https://www.g2.com/it/products/intruder/reviews)
  Intruder è una piattaforma di gestione dell&#39;esposizione per la scalabilità delle aziende di medie dimensioni. Oltre 3000 aziende - in tutti i settori - utilizzano Intruder per individuare esposizioni critiche, rispondere più rapidamente e prevenire violazioni. Unificando la gestione della superficie di attacco, la gestione delle vulnerabilità e la sicurezza del cloud in un&#39;unica piattaforma potente e facile da usare, Intruder semplifica il compito complesso di proteggere una superficie di attacco in continua espansione. Riconoscendo che nessuna azienda è uguale a un&#39;altra, Intruder fornisce una scansione accurata in tempo reale combinata con una prioritizzazione intelligente del rischio, garantendo che le aziende si concentrino sulle esposizioni più rilevanti per loro. E il nostro approccio proattivo limita la finestra di rischio, monitorando continuamente nuove minacce mentre elimina il rumore che rallenta i team. Che tu sia un IT Manager, in DevOps o un CISO, la facile configurazione e l&#39;approccio basato sul contesto di Intruder ti libereranno per concentrarti sulle esposizioni che causano reali violazioni, non solo vulnerabilità tecniche. Tenendoti un passo avanti agli attaccanti.


  **Average Rating:** 4.8/5.0
  **Total Reviews:** 206

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.7/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 8.9/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 9.5/10 (Category avg: 8.7/10)
- **Automazione dei test:** 8.8/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [Intruder](https://www.g2.com/it/sellers/intruder)
- **Sito web dell&#39;azienda:** https://www.intruder.io
- **Anno di Fondazione:** 2015
- **Sede centrale:** London
- **Twitter:** @intruder_io (979 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/6443623/ (84 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Who Uses This:** CTO, Director
  - **Top Industries:** Software per computer, Tecnologia dell&#39;informazione e servizi
  - **Company Size:** 57% Piccola impresa, 36% Mid-Market


#### Pros & Cons

**Pros:**

- Ease of Use (41 reviews)
- Vulnerability Detection (30 reviews)
- Customer Support (26 reviews)
- User Interface (24 reviews)
- Vulnerability Identification (24 reviews)

**Cons:**

- Expensive (10 reviews)
- Slow Scanning (8 reviews)
- Licensing Issues (7 reviews)
- False Positives (6 reviews)
- Limited Features (6 reviews)

  ### 8. [GitLab](https://www.g2.com/it/products/gitlab/reviews)
  GitLab è la piattaforma DevSecOps più completa alimentata dall&#39;IA che consente l&#39;innovazione del software potenziando i team di sviluppo, sicurezza e operazioni per costruire software migliori, più velocemente. Con GitLab, i team possono creare, consegnare e gestire il codice rapidamente e continuamente invece di gestire strumenti e script disparati. GitLab aiuta i tuoi team in tutto il ciclo di vita DevSecOps, dallo sviluppo, alla sicurezza, al deployment del software. Cosa ci rende veramente diversi? - Flessibilità: Consuma come servizio o gestisci il tuo deployment - Cloud-Agnostico: Distribuisci ovunque senza vincoli del fornitore - Nessuna sostituzione: Scala verso un approccio di piattaforma al tuo ritmo


  **Average Rating:** 4.5/5.0
  **Total Reviews:** 869

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 8.8/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 9.2/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 9.0/10 (Category avg: 8.7/10)
- **Automazione dei test:** 9.1/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [GitLab Inc.](https://www.g2.com/it/sellers/gitlab-inc)
- **Sito web dell&#39;azienda:** https://about.gitlab.com/
- **Anno di Fondazione:** 2014
- **Sede centrale:** San Francisco, California
- **Twitter:** @gitlab (170,493 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/5101804/ (3,357 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Who Uses This:** Software Engineer, Senior Software Engineer
  - **Top Industries:** Software per computer, Tecnologia dell&#39;informazione e servizi
  - **Company Size:** 38% Mid-Market, 37% Piccola impresa


#### Pros & Cons

**Pros:**

- Ease of Use (43 reviews)
- Features (42 reviews)
- CI (36 reviews)
- CD Integration (34 reviews)
- Integrations (34 reviews)

**Cons:**

- Complexity (21 reviews)
- Difficult Learning (19 reviews)
- Confusing Interface (16 reviews)
- Complex User Interface (15 reviews)
- Learning Curve (13 reviews)

  ### 9. [Pynt - API Security Testing](https://www.g2.com/it/products/pynt-api-security-testing/reviews)
  Pynt è una piattaforma innovativa per il test della sicurezza delle API che espone minacce verificate alle API attraverso attacchi simulati. Centinaia di aziende si affidano a Pynt per monitorare, classificare e attaccare continuamente le API poco sicure, prima che lo facciano gli hacker.


  **Average Rating:** 4.8/5.0
  **Total Reviews:** 44

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.2/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 9.5/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 9.3/10 (Category avg: 8.7/10)
- **Automazione dei test:** 9.2/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [Pynt](https://www.g2.com/it/sellers/pynt)
- **Anno di Fondazione:** 2022
- **Sede centrale:** Tel Aviv, IL
- **Twitter:** @pynt_io (364 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/pynt (19 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Top Industries:** Software per computer, Sicurezza informatica e di rete
  - **Company Size:** 57% Piccola impresa, 23% Enterprise


#### Pros & Cons

**Pros:**

- Vulnerability Detection (20 reviews)
- Security (19 reviews)
- API Management (17 reviews)
- Easy Integrations (17 reviews)
- Automation (15 reviews)

**Cons:**

- Complex Setup (12 reviews)
- Setup Complexity (7 reviews)
- Limited Features (4 reviews)
- Poor Interface Design (4 reviews)
- UX Improvement (4 reviews)

  ### 10. [Cobalt](https://www.g2.com/it/products/cobalt-io-cobalt/reviews)
  Cobalt è il pioniere nel pentesting come servizio (PTaaS) e un leader nei servizi di sicurezza offensiva guidati dall&#39;uomo e potenziati dall&#39;IA. Siamo concentrati sulla combinazione di talento e tecnologia con velocità, scalabilità ed esperienza. Migliaia di clienti e centinaia di partner si affidano alla Cobalt Offensive Security Platform, insieme a oltre 500 esperti di sicurezza fidati, per trovare e risolvere vulnerabilità nei loro ambienti. Consentendo l&#39;avvio più rapido dei pentest, la collaborazione in tempo reale con i pentester e l&#39;integrazione senza soluzione di continuità con i flussi di lavoro di rimedio, aiutiamo le organizzazioni a identificare problemi critici e accelerare la mitigazione del rischio in modo che possano operare senza paura e innovare in sicurezza.


  **Average Rating:** 4.5/5.0
  **Total Reviews:** 171

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.3/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 8.6/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 8.6/10 (Category avg: 8.7/10)
- **Automazione dei test:** 8.9/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [Cobalt](https://www.g2.com/it/sellers/cobalt-33275b9c-c870-4949-8fd5-a68eb12f96bb)
- **Sito web dell&#39;azienda:** https://cobalt.io/
- **Anno di Fondazione:** 2013
- **Sede centrale:** San Francisco, California
- **Twitter:** @cobalt_io (8,476 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/cobalt_io/ (535 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Who Uses This:** CTO, Security Engineer
  - **Top Industries:** Software per computer, Tecnologia dell&#39;informazione e servizi
  - **Company Size:** 51% Mid-Market, 23% Piccola impresa


#### Pros & Cons

**Pros:**

- Pentesting Efficiency (50 reviews)
- Customer Support (40 reviews)
- Ease of Use (39 reviews)
- Communication (31 reviews)
- Reporting Quality (28 reviews)

**Cons:**

- Expensive (14 reviews)
- Limited Scope (8 reviews)
- Lack of Detail (7 reviews)
- Pricing Issues (6 reviews)
- Inaccuracy (5 reviews)

  ### 11. [BugDazz API Scanner](https://www.g2.com/it/products/bugdazz-api-scanner/reviews)
  BugDazz API Security Scanner di SecureLayer7 è uno strumento completo progettato per rilevare automaticamente vulnerabilità, configurazioni errate e lacune di sicurezza negli endpoint API, aiutando i team di sicurezza a proteggere i beni digitali contro le crescenti minacce e potenziali exploit legati alle API. Offre capacità di scansione in tempo reale, consentendo il rilevamento automatico delle vulnerabilità man mano che si presentano. Supporta la gestione dell&#39;autenticazione e del controllo degli accessi, permettendo la gestione dei controlli API all&#39;interno di una singola piattaforma. BugDazz assiste nel raggiungimento della conformità accelerando la generazione di report per standard come PCI DSS e HIPAA. Si integra perfettamente con le pipeline CI/CD esistenti, facilitando l&#39;accelerazione dei lanci di prodotto. Lo scanner va oltre le vulnerabilità standard OWASP Top 10, fornendo una protezione completa contro i rischi critici per la sicurezza delle API.


  **Average Rating:** 4.9/5.0
  **Total Reviews:** 11

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.6/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 10.0/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 9.3/10 (Category avg: 8.7/10)
- **Automazione dei test:** 10.0/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [SecureLayer7](https://www.g2.com/it/sellers/securelayer7)
- **Anno di Fondazione:** 2012
- **Sede centrale:** Pune, Maharshtra
- **Twitter:** @SecureLayer7 (2,507 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/securelayer7/ (121 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Company Size:** 91% Piccola impresa, 9% Mid-Market


#### Pros & Cons

**Pros:**

- Accuracy of Results (4 reviews)
- CD Integration (4 reviews)
- CI (4 reviews)
- Ease of Use (4 reviews)
- Scanning Technology (4 reviews)

**Cons:**

- Poor Documentation (2 reviews)
- Difficult Learning Curve (1 reviews)
- Lack of Guidance (1 reviews)
- Lack of Information (1 reviews)
- Learning Curve (1 reviews)

  ### 12. [Jit](https://www.g2.com/it/products/jit/reviews)
  Jit sta ridefinendo la sicurezza delle applicazioni introducendo la prima Piattaforma AppSec Agentica, fondendo perfettamente l&#39;esperienza umana con l&#39;automazione guidata dall&#39;IA. Progettato per i team di sviluppo moderni, Jit consente alle organizzazioni di gestire proattivamente i rischi di sicurezza durante l&#39;intero ciclo di vita dello sviluppo software. Agenti Potenziati dall&#39;IA Gli Agenti IA di Jit, come SERA (Agente di Valutazione e Rimedio della Sicurezza) e COTA (Agente di Comunicazione, Operazioni e Ticketing), collaborano con i tuoi team per automatizzare i processi di triage delle vulnerabilità, valutazione dei rischi e rimedio, riducendo significativamente i carichi di lavoro manuali. Scansione di Sicurezza Completa Raggiungi una copertura di sicurezza full-stack con scanner integrati per SAST, DAST, SCA, IaC, CSPM e altro. La piattaforma di Jit assicura un monitoraggio continuo e un feedback immediato sui cambiamenti del codice, facilitando l&#39;identificazione rapida e la risoluzione dei problemi di sicurezza. Esperienza Centrata sullo Sviluppatore Con integrazioni nei popolari IDE e pipeline CI/CD, Jit fornisce agli sviluppatori approfondimenti sulla sicurezza contestuali direttamente all&#39;interno dei loro flussi di lavoro, promuovendo un approccio shift-left senza interrompere la produttività. IA Agentica per i Team AppSec Prioritizzazione Basata sul Rischio Utilizzando il Protocollo di Contesto del Modello (MCP), Jit valuta le vulnerabilità nel contesto degli ambienti di runtime, dell&#39;impatto aziendale e dei requisiti di conformità, consentendo ai team di concentrarsi sui rischi più critici. Integrazioni Senza Soluzione di Continuità Jit si integra con una vasta gamma di strumenti, tra cui GitHub, GitLab, AWS, Azure, GCP, Jira, Slack e altro, assicurando che i processi di sicurezza siano incorporati all&#39;interno del tuo stack tecnologico esistente.


  **Average Rating:** 4.5/5.0
  **Total Reviews:** 43

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.6/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 8.7/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 9.0/10 (Category avg: 8.7/10)
- **Automazione dei test:** 8.5/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [jit](https://www.g2.com/it/sellers/jit)
- **Anno di Fondazione:** 2021
- **Sede centrale:** Boston, MA
- **Twitter:** @jit_io (521 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/jit/ (151 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Top Industries:** Software per computer, Servizi finanziari
  - **Company Size:** 44% Mid-Market, 42% Piccola impresa


#### Pros & Cons

**Pros:**

- Security (10 reviews)
- Easy Integrations (8 reviews)
- Ease of Use (7 reviews)
- Efficiency (7 reviews)
- Integration Support (7 reviews)

**Cons:**

- Integration Issues (4 reviews)
- Limited Features (4 reviews)
- Limited Integration (4 reviews)
- Poor Documentation (4 reviews)
- Complexity (3 reviews)

  ### 13. [Edgescan](https://www.g2.com/it/products/edgescan/reviews)
  Edgescan è una piattaforma completa per la sicurezza proattiva continua, la gestione delle esposizioni e il Penetration Testing as a Service (PTaaS). È progettata per assistere le organizzazioni nel comprendere a fondo la loro impronta cibernetica attraverso soluzioni avanzate che facilitano la Gestione Continua delle Minacce e delle Esposizioni (CTEM) / Sicurezza Proattiva. Coprendo l&#39;intero ciclo di vita della sicurezza—dalla scoperta iniziale (ASM) alla prioritizzazione, validazione e rimedio—Edgescan aiuta a garantire che la postura di sicurezza di un&#39;organizzazione rimanga sia robusta che proattiva. Questa piattaforma è particolarmente utile per i team di sicurezza IT, gli ufficiali di conformità e i professionisti della gestione del rischio che devono mantenere una visione chiara delle vulnerabilità della loro organizzazione in vari ambienti. Edgescan offre capacità di test unificate su reti, API, applicazioni web e applicazioni mobili, permettendo agli utenti di tracciare e gestire efficacemente la loro postura di rischio. La capacità della piattaforma di contestualizzare il rischio attraverso un&#39;intelligenza delle vulnerabilità convalidata assicura che le organizzazioni possano concentrarsi sulle vulnerabilità più critiche, minimizzando il potenziale di violazioni della sicurezza. Una delle caratteristiche distintive di Edgescan è il suo impegno a fornire un&#39;intelligenza delle vulnerabilità convalidata priva di falsi positivi. Questa caratteristica, combinata con i sistemi di punteggio tradizionali per la conformità, permette alle organizzazioni di dare priorità alle vulnerabilità in base al loro rischio effettivo. I sistemi proprietari di valutazione del rischio e delle violazioni convalidati di Edgescan migliorano ulteriormente questo processo di prioritizzazione, assicurando che i team di sicurezza possano affrontare prima le vulnerabilità più urgenti. Questo approccio strategico non solo semplifica il processo di rimedio, ma allinea anche gli sforzi di sicurezza con gli obiettivi aziendali. Inoltre, Edgescan combina test continui full-stack con l&#39;esperienza umana, fornendo una comprensione sfumata della superficie di attacco di un&#39;organizzazione e delle vulnerabilità che esistono al suo interno. Questo approccio duale consente ai team di sicurezza di mantenere un programma di gestione delle esposizioni basato sul rischio proattivo e robusto. Sfruttando sia i test automatizzati che l&#39;analisi esperta, Edgescan fornisce alle organizzazioni le intuizioni necessarie per fortificare le loro difese contro le minacce cibernetiche in evoluzione. In sintesi, Edgescan si distingue nel campo dei test di sicurezza continui e della gestione delle esposizioni offrendo una visione olistica della postura di sicurezza di un&#39;organizzazione. La sua attenzione alla visibilità, alla prioritizzazione e al rimedio assicura che gli utenti possano gestire efficacemente le loro vulnerabilità e mantenere un solido quadro di sicurezza. Con Edgescan, le organizzazioni possono navigare nelle complessità della sicurezza informatica con fiducia, sapendo di avere gli strumenti necessari per proteggere i loro beni e dati.


  **Average Rating:** 4.7/5.0
  **Total Reviews:** 51

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.3/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 8.0/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 9.2/10 (Category avg: 8.7/10)
- **Automazione dei test:** 9.3/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [Edgescan](https://www.g2.com/it/sellers/edgescan)
- **Sito web dell&#39;azienda:** https://www.edgescan.com
- **Anno di Fondazione:** 2017
- **Sede centrale:** Dublin, Dublin
- **Twitter:** @edgescan (2,265 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/2928425/ (88 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Top Industries:** Tecnologia dell&#39;informazione e servizi, Software per computer
  - **Company Size:** 32% Enterprise, 32% Mid-Market


#### Pros & Cons

**Pros:**

- Ease of Use (25 reviews)
- Vulnerability Detection (24 reviews)
- Customer Support (19 reviews)
- Vulnerability Identification (19 reviews)
- Features (18 reviews)

**Cons:**

- Complex UI (5 reviews)
- Limited Customization (5 reviews)
- Poor Interface Design (5 reviews)
- Slow Performance (5 reviews)
- UX Improvement (5 reviews)

  ### 14. [Acunetix by Invicti](https://www.g2.com/it/products/acunetix-by-invicti/reviews)
  Acunetix (di Invicti) è uno strumento automatizzato di test di sicurezza delle applicazioni che consente ai piccoli team di sicurezza di affrontare grandi sfide di sicurezza delle applicazioni. Con scansioni rapide, risultati completi e automazione intelligente, Acunetix aiuta le organizzazioni a ridurre il rischio su tutti i tipi di applicazioni web, siti web e API. Con Acunetix, i team di sicurezza possono: - Risparmiare tempo e risorse automatizzando i processi di sicurezza manuali - Lavorare in modo più fluido con gli sviluppatori, o abbracciare il DevSecOps integrandosi direttamente negli strumenti di sviluppo - Sentirsi sicuri che ogni applicazione web sia stata completamente esplorata grazie alla scansione DAST + IAST e alla tecnologia di crawling intelligente - Infine, rendere la sicurezza delle applicazioni web e delle API una priorità e non solo un&#39;aggiunta con una soluzione dedicata alla sicurezza delle applicazioni e delle API al 100% del tempo Puoi contare su Acunetix per soddisfare le esigenze della tua organizzazione oggi e affrontare insieme le sfide della tecnologia web moderna domani.


  **Average Rating:** 4.1/5.0
  **Total Reviews:** 100

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 8.2/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 7.9/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 8.7/10 (Category avg: 8.7/10)
- **Automazione dei test:** 8.1/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [Invicti Security](https://www.g2.com/it/sellers/invicti-security-04cb0d3d-fd96-45b2-83dc-2038fc9dac92)
- **Sito web dell&#39;azienda:** https://www.invicti.com/
- **Anno di Fondazione:** 2018
- **Sede centrale:** Austin, Texas
- **Twitter:** @InvictiSecurity (2,549 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/invicti-security/people/ (332 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Top Industries:** Tecnologia dell&#39;informazione e servizi, Software per computer
  - **Company Size:** 40% Enterprise, 34% Mid-Market


#### Pros & Cons

**Pros:**

- Vulnerability Detection (7 reviews)
- Ease of Use (6 reviews)
- Security (5 reviews)
- Vulnerability Identification (5 reviews)
- Accuracy of Results (4 reviews)

**Cons:**

- Expensive (4 reviews)
- Complexity (3 reviews)
- Complex Setup (3 reviews)
- Slow Scanning (3 reviews)
- Difficult Customization (2 reviews)

  ### 15. [Bright Security](https://www.g2.com/it/products/bright-security/reviews)
  La piattaforma DAST incentrata sugli sviluppatori di Bright Security offre a sviluppatori e professionisti AppSec capacità di test di sicurezza di livello aziendale per applicazioni web, API e applicazioni GenAI e LLM. Bright sa come fornire i test giusti, al momento giusto nel SDLC, negli strumenti e stack di scelta per sviluppatori e AppSec, con un numero minimo di falsi positivi e affaticamento da allerta.


  **Average Rating:** 4.7/5.0
  **Total Reviews:** 29

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.2/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 8.3/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 8.2/10 (Category avg: 8.7/10)
- **Automazione dei test:** 8.9/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [Bright Security ](https://www.g2.com/it/sellers/bright-security)
- **Anno di Fondazione:** 2018
- **Sede centrale:** San Rafael
- **Twitter:** @BrightAppSec (1,518 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/brightappsec (118 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Top Industries:** Sicurezza informatica e di rete, Tecnologia dell&#39;informazione e servizi
  - **Company Size:** 52% Enterprise, 34% Mid-Market


#### Pros & Cons

**Pros:**

- Accuracy of Results (4 reviews)
- Automated Scanning (4 reviews)
- Ease of Use (4 reviews)
- Detection (3 reviews)
- Easy Integrations (3 reviews)

**Cons:**

- Learning Curve (3 reviews)
- Complex Setup (2 reviews)
- Setup Complexity (2 reviews)
- Complexity (1 reviews)
- Confusing Interface (1 reviews)

  ### 16. [Akto API Security Platform](https://www.g2.com/it/products/akto-api-security-platform/reviews)
  Akto è una piattaforma affidabile per la sicurezza delle applicazioni e i team di sicurezza dei prodotti per costruire un programma di sicurezza API di livello aziendale lungo la loro pipeline DevSecOps. La nostra suite leader del settore di — scoperta API, gestione della postura di sicurezza API, esposizione di dati sensibili e soluzioni di test di sicurezza API consente alle organizzazioni di ottenere visibilità nella loro postura di sicurezza API. Oltre 1.000 team di sicurezza delle applicazioni a livello globale si affidano ad Akto per le loro esigenze di sicurezza API. Casi d&#39;uso di Akto: 1. Scoperta API 2. Test di sicurezza API in CI/CD 3. Gestione della postura di sicurezza API 4. Test di autenticazione e autorizzazione 5. Esposizione di dati sensibili 6. Shift left in DevSecOps


  **Average Rating:** 4.5/5.0
  **Total Reviews:** 51

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.1/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 9.0/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 8.1/10 (Category avg: 8.7/10)
- **Automazione dei test:** 8.8/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [Akto.io](https://www.g2.com/it/sellers/akto-io)
- **Sito web dell&#39;azienda:** https://www.akto.io
- **Anno di Fondazione:** 2022
- **Sede centrale:** San Francisco, California
- **Twitter:** @Aktodotio (1,343 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/akto-io/ (29 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Top Industries:** Servizi finanziari, Software per computer
  - **Company Size:** 46% Mid-Market, 35% Piccola impresa


#### Pros & Cons

**Pros:**

- Ease of Use (22 reviews)
- API Testing (20 reviews)
- Automation Testing (19 reviews)
- API Management (17 reviews)
- Security (17 reviews)

**Cons:**

- Complex Setup (9 reviews)
- Poor Documentation (8 reviews)
- API Issues (7 reviews)
- Complexity (7 reviews)
- Setup Complexity (7 reviews)

  ### 17. [Indusface WAS](https://www.g2.com/it/products/indusface-was/reviews)
  Indusface WAS (Web Application Scanner) fornisce una soluzione completa di test di sicurezza delle applicazioni dinamiche gestite (DAST). È una soluzione cloud-based non intrusiva e senza contatto che offre monitoraggio giornaliero per le applicazioni web, controllando vulnerabilità di sistemi e applicazioni, e malware. Indusface WAS, con le sue scansioni automatizzate e il pentesting manuale eseguito da esperti di sicurezza certificati, garantisce che nessuna delle vulnerabilità OWASP Top10, di logica aziendale e malware passi inosservata. Con una garanzia di zero falsi positivi e report completi con guida alla risoluzione, la scansione delle app web di Indusface assicura agli sviluppatori di correggere rapidamente le vulnerabilità senza problemi.


  **Average Rating:** 4.6/5.0
  **Total Reviews:** 63

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.4/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 9.7/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 9.4/10 (Category avg: 8.7/10)
- **Automazione dei test:** 9.4/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [Indusface](https://www.g2.com/it/sellers/indusface)
- **Anno di Fondazione:** 2012
- **Sede centrale:** Vadodara
- **Twitter:** @Indusface (3,470 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/indusface/ (174 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Top Industries:** Software per computer, Tecnologia dell&#39;informazione e servizi
  - **Company Size:** 52% Piccola impresa, 37% Mid-Market


#### Pros & Cons

**Pros:**

- Vulnerability Detection (19 reviews)
- Vulnerability Identification (16 reviews)
- Customer Support (6 reviews)
- Scanning Efficiency (6 reviews)
- Security (6 reviews)

**Cons:**

- Expensive (2 reviews)
- Confusing Interface (1 reviews)
- Lacking Features (1 reviews)
- Limited Scope (1 reviews)
- Poor Interface Design (1 reviews)

  ### 18. [Veracode Application Security Platform](https://www.g2.com/it/products/veracode-application-security-platform/reviews)
  Veracode aiuta le aziende che innovano attraverso il software a consegnare codice sicuro in tempo. A differenza delle soluzioni on-premise che sono difficili da scalare e focalizzate sul trovare piuttosto che sul risolvere, Veracode comprende una combinazione unica di tecnologia SaaS e competenza on-demand che abilita DevSecOps attraverso l&#39;integrazione con la tua pipeline, permette agli sviluppatori di correggere i difetti di sicurezza e scala il tuo programma attraverso le migliori pratiche per raggiungere i risultati desiderati. Veracode copre tutte le tue esigenze AppSec in un&#39;unica soluzione attraverso una combinazione di cinque tipi di analisi disponibili per 24 linguaggi di programmazione, 77 framework e tipi di applicazioni vari come microservizi, mainframe e app mobili.


  **Average Rating:** 3.8/5.0
  **Total Reviews:** 24

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 7.9/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 7.9/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 8.0/10 (Category avg: 8.7/10)
- **Automazione dei test:** 9.0/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [VERACODE](https://www.g2.com/it/sellers/veracode)
- **Anno di Fondazione:** 2006
- **Sede centrale:** Burlington, MA
- **Twitter:** @Veracode (21,988 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/27845/ (515 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Top Industries:** Tecnologia dell&#39;informazione e servizi
  - **Company Size:** 72% Enterprise, 28% Mid-Market


#### Pros & Cons

**Pros:**

- Security (2 reviews)
- Vulnerability Detection (2 reviews)
- Accuracy of Results (1 reviews)
- Automated Scanning (1 reviews)
- Code Quality (1 reviews)

**Cons:**

- Expensive (1 reviews)
- Licensing Issues (1 reviews)
- Pricing Issues (1 reviews)

  ### 19. [Veracode Dynamic Analysis](https://www.g2.com/it/products/veracode-dynamic-analysis/reviews)
  L&#39;analisi dinamica di Veracode aiuta le aziende a scansionare le loro applicazioni web per vulnerabilità sfruttabili su larga scala. Con la capacità di testare migliaia di applicazioni simultaneamente e un tasso di falsi positivi inferiore all&#39;1%, insieme a una guida completa alla risoluzione, i clienti sono in grado di ridurre rapidamente il rischio di una violazione attraverso le loro applicazioni web. La soluzione si integra con Veracode Discovery, che mappa la tua superficie di attacco web, per scansionare i siti inventariati.


  **Average Rating:** 4.3/5.0
  **Total Reviews:** 14

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 7.3/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 9.4/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 9.2/10 (Category avg: 8.7/10)
- **Automazione dei test:** 9.4/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [VERACODE](https://www.g2.com/it/sellers/veracode)
- **Anno di Fondazione:** 2006
- **Sede centrale:** Burlington, MA
- **Twitter:** @Veracode (21,988 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/27845/ (515 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Company Size:** 75% Enterprise, 19% Mid-Market


  ### 20. [StackHawk](https://www.g2.com/it/products/stackhawk/reviews)
  StackHawk sta reinventando la sicurezza delle applicazioni (AppSec) per lo sviluppo guidato dall&#39;intelligenza artificiale, dove le applicazioni vengono costruite più velocemente di quanto gli strumenti tradizionali di AppSec possano tenere il passo. La nostra piattaforma di intelligenza AppSec combina test runtime scalabili con una completa scoperta della superficie di attacco dal codice sorgente. Ci integriamo direttamente nei flussi di lavoro di sviluppo e forniamo rimedi contestuali agli sviluppatori, consentendo ai team di trovare e correggere le vulnerabilità sfruttabili prima che raggiungano la produzione. Con visibilità in tempo reale e intelligenza centralizzata del programma, i team AppSec possono dare priorità ai test e alla correzione di ciò che conta. Aziende come British Airways, ITV e Norstella si affidano a StackHawk per valutare il rischio delle applicazioni, dimostrare il valore del programma e scalare la copertura dei test per adattarsi alla velocità di sviluppo.


  **Average Rating:** 4.6/5.0
  **Total Reviews:** 67

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.1/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 8.8/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 8.1/10 (Category avg: 8.7/10)
- **Automazione dei test:** 8.8/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [StackHawk](https://www.g2.com/it/sellers/stackhawk)
- **Sito web dell&#39;azienda:** https://stackhawk.com
- **Anno di Fondazione:** 2019
- **Sede centrale:** Denver, CO
- **Twitter:** @StackHawk (1,137 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/40780406/ (44 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Top Industries:** Tecnologia dell&#39;informazione e servizi, Software per computer
  - **Company Size:** 46% Piccola impresa, 35% Mid-Market


#### Pros & Cons

**Pros:**

- Easy Integrations (10 reviews)
- Customer Support (9 reviews)
- Ease of Use (9 reviews)
- Integrations (7 reviews)
- Scanning Efficiency (5 reviews)

**Cons:**

- Setup Complexity (5 reviews)
- Complex Setup (4 reviews)
- High Learning Curve (3 reviews)
- Lacking Features (3 reviews)
- Limited Scope (3 reviews)

  ### 21. [HCL AppScan](https://www.g2.com/it/products/hcl-appscan/reviews)
  HCL AppScan è una suite completa di soluzioni leader di mercato per il test di sicurezza delle applicazioni (SAST, DAST, IAST, SCA, API), disponibile on-premises e su cloud. Questi potenti strumenti DevSecOps individuano le vulnerabilità delle applicazioni, consentendo una rapida correzione in ogni fase del ciclo di vita dello sviluppo software. Scansione Veloce e Accurata per DevOps Sicuro Gli sviluppatori e i team DevOps possono scansionare rapidamente e accuratamente codice, applicazioni e API per vulnerabilità di sicurezza mentre le applicazioni sono in fase di sviluppo. Questo consente alle aziende di risolvere i problemi nelle prime fasi del ciclo di vita dello sviluppo software, quando è meno costoso per l&#39;azienda. Concentrati sulla Correzione Il monitoraggio continuo con IAST, insieme alla correlazione automatica dei problemi con i risultati delle scansioni DAST e SAST, consente ai team DevOps di raggruppare e dare priorità ai risultati per una correzione più rapida e semplificata. Gestione Aziendale per i Team di Sicurezza Dashboard centralizzate e facili da usare forniscono visibilità e supervisione di tutte le scansioni di sicurezza e delle correzioni, e consentono agli utenti di impostare parametri di scansione e politiche di conformità.


  **Average Rating:** 4.1/5.0
  **Total Reviews:** 74

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 8.8/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 8.1/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 8.2/10 (Category avg: 8.7/10)
- **Automazione dei test:** 7.9/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [HCL Technologies](https://www.g2.com/it/sellers/hcl-technologies)
- **Anno di Fondazione:** 1999
- **Sede centrale:** Noida, Uttar Pradesh
- **Twitter:** @hcltech (425,421 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/1756/ (251,431 dipendenti su LinkedIn®)
- **Proprietà:** NSE - National Stock Exchange of India

**Reviewer Demographics:**
  - **Top Industries:** Tecnologia dell&#39;informazione e servizi, Sicurezza informatica e di rete
  - **Company Size:** 54% Enterprise, 28% Piccola impresa


  ### 22. [Beagle Security](https://www.g2.com/it/products/beagle-security/reviews)
  Beagle Security ti aiuta a identificare le vulnerabilità nelle tue applicazioni web, API, GraphQL e a risolverle con approfondimenti attuabili prima che gli hacker possano danneggiarti in qualsiasi modo. Con Beagle Security, puoi integrare test di penetrazione automatizzati nel tuo pipeline CI/CD per identificare i problemi di sicurezza prima nel tuo ciclo di sviluppo e distribuire applicazioni web più sicure. Caratteristiche principali: - Controlla le tue app web e API per oltre 3000 casi di test per trovare falle di sicurezza - Standard OWASP e SANS - Raccomandazioni per affrontare i problemi di sicurezza - Test di sicurezza per app web complesse con login - Rapporti di conformità (GDPR, HIPAA e PCI DSS) - Pianificazione dei test - Integrazioni DevSecOps - Integrazione API - Accesso al team - Integrazioni con strumenti popolari come Slack, Jira, Asana, Trello e oltre 100 altri strumenti


  **Average Rating:** 4.7/5.0
  **Total Reviews:** 85

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.5/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 7.9/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 9.2/10 (Category avg: 8.7/10)
- **Automazione dei test:** 9.7/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [Beagle Security](https://www.g2.com/it/sellers/beagle-security)
- **Anno di Fondazione:** 2020
- **Sede centrale:** San Francisco, US
- **Twitter:** @beaglesecure (209 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/beaglesecurity/ (43 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Who Uses This:** CEO, Director
  - **Top Industries:** Marketing e pubblicità, Tecnologia dell&#39;informazione e servizi
  - **Company Size:** 91% Piccola impresa, 7% Mid-Market


#### Pros & Cons

**Pros:**

- Reporting Quality (1 reviews)
- Setup Ease (1 reviews)


  ### 23. [Contrast Security](https://www.g2.com/it/products/contrast-security-contrast-security/reviews)
  Contrast Security è il leader globale nella Rilevazione e Risposta alle Applicazioni (ADR), consentendo alle organizzazioni di vedere e fermare gli attacchi su applicazioni e API in tempo reale. Contrast integra sensori di minaccia brevettati direttamente nel software, offrendo una visibilità e una protezione senza pari. Con una difesa continua e in tempo reale, Contrast scopre rischi nascosti a livello di applicazione che le soluzioni tradizionali non rilevano. La potente tecnologia di Sicurezza Runtime di Contrast fornisce a sviluppatori, team AppSec e SecOps una piattaforma che protegge e difende proattivamente applicazioni e API contro le minacce in evoluzione.


  **Average Rating:** 4.5/5.0
  **Total Reviews:** 49

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.0/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 8.7/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 8.2/10 (Category avg: 8.7/10)
- **Automazione dei test:** 8.3/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [Contrast Security](https://www.g2.com/it/sellers/contrast-security)
- **Sito web dell&#39;azienda:** https://contrastsecurity.com
- **Anno di Fondazione:** 2014
- **Sede centrale:** Pleasanton, CA
- **Twitter:** @contrastsec (5,480 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/contrast-security/ (224 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Top Industries:** Assicurazioni, Tecnologia dell&#39;informazione e servizi
  - **Company Size:** 67% Enterprise, 20% Mid-Market


#### Pros & Cons

**Pros:**

- Accuracy of Findings (2 reviews)
- Accuracy of Results (2 reviews)
- Vulnerability Detection (2 reviews)
- Automated Scanning (1 reviews)
- Automation (1 reviews)

**Cons:**

- Complex Setup (1 reviews)
- Difficult Setup (1 reviews)
- Performance Issues (1 reviews)
- Problematic Updates (1 reviews)
- Setup Complexity (1 reviews)

  ### 24. [APPCHECK](https://www.g2.com/it/products/appcheck/reviews)
  AppCheck è una soluzione di Dynamic Application Security Testing (DAST) e di test delle vulnerabilità di rete, sviluppata e supportata da esperti penetration tester. Affrontiamo i test di sicurezza come farebbe un hacker, sfruttando molteplici motori di crawling proprietari per analizzare il comportamento del target sia nelle tecnologie moderne che tradizionali, incluse le Single Page Applications (SPA), le API e i flussi di autenticazione complessi come SSO, 2FA e TOTP. Le organizzazioni possono condurre valutazioni di sicurezza illimitate su applicazioni web, SPA, API, servizi cloud, reti, su asset interni o esterni. Supportando i test di produzione e UAT, AppCheck aiuta anche le organizzazioni a &#39;spostarsi a sinistra&#39; integrandosi con le pipeline CI/CD e i server di build, inclusi ADO, GitHub, Jenkins, TeamCity, CircleCI, TravisCI, Bamboo e GitLab CI/CD. Consentendo test di sicurezza automatizzati durante tutto lo sviluppo, identificando i rischi non appena vengono introdotti cambiamenti. AppCheck è orgogliosa di far parte della CVE Numbering Authority (CNA), contribuendo alla ricerca sulla sicurezza a livello globale.


  **Average Rating:** 4.6/5.0
  **Total Reviews:** 67

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.5/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 7.9/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 8.9/10 (Category avg: 8.7/10)
- **Automazione dei test:** 9.2/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [APPCHECK](https://www.g2.com/it/sellers/appcheck)
- **Sito web dell&#39;azienda:** https://www.appcheck-ng.com
- **Anno di Fondazione:** 2014
- **Sede centrale:** Leeds, GB
- **Twitter:** @AppcheckNG (649 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/appcheck-ng-ltd/ (99 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Top Industries:** Software per computer, Tecnologia dell&#39;informazione e servizi
  - **Company Size:** 49% Mid-Market, 30% Piccola impresa


#### Pros & Cons

**Pros:**

- Vulnerability Detection (7 reviews)
- Ease of Use (6 reviews)
- Features (5 reviews)
- Pentesting Efficiency (5 reviews)
- Automated Scanning (4 reviews)

**Cons:**

- Poor Customer Support (2 reviews)
- UX Improvement (2 reviews)
- API Issues (1 reviews)
- Difficult Customization (1 reviews)
- Difficult Learning Curve (1 reviews)

  ### 25. [NowSecure](https://www.g2.com/it/products/nowsecure/reviews)
  NowSecure Inc., con sede a Oak Park, Illinois, è stata fondata nel 2009 con la missione di promuovere la sicurezza mobile a livello mondiale. Aiutiamo a proteggere dispositivi mobili, imprese e app mobili.


  **Average Rating:** 4.6/5.0
  **Total Reviews:** 27

**User Satisfaction Scores:**

- **the product è stato un buon partner negli affari?:** 9.3/10 (Category avg: 9.2/10)
- **API / Integrazioni:** 7.8/10 (Category avg: 8.6/10)
- **Tasso di rilevamento:** 8.3/10 (Category avg: 8.7/10)
- **Automazione dei test:** 7.2/10 (Category avg: 8.7/10)


**Seller Details:**

- **Venditore:** [NowSecure](https://www.g2.com/it/sellers/nowsecure)
- **Anno di Fondazione:** 2009
- **Sede centrale:** Chicago, Illinois
- **Twitter:** @nowsecuremobile (6,389 follower su Twitter)
- **Pagina LinkedIn®:** https://www.linkedin.com/company/nowsecure (104 dipendenti su LinkedIn®)

**Reviewer Demographics:**
  - **Company Size:** 41% Mid-Market, 37% Enterprise


## Parent Category

[Software DevSecOps](https://www.g2.com/it/categories/devsecops)


## Related Categories

- [Software di scansione delle vulnerabilità](https://www.g2.com/it/categories/vulnerability-scanner)
- [Strumenti di Penetration Testing](https://www.g2.com/it/categories/penetration-testing-tools)
- [Software di Test di Sicurezza delle Applicazioni Statiche (SAST)](https://www.g2.com/it/categories/static-application-security-testing-sast)


---

## Buyer Guide

### Cosa Dovresti Sapere sul Software di Dynamic Application Security Testing (DAST)

### Che cos&#39;è il software di Dynamic Application Security Testing (DAST)?

Il Dynamic Application Security Testing (DAST) è uno dei molti raggruppamenti tecnologici di soluzioni di test di sicurezza. DAST è una forma di test di sicurezza black-box, il che significa che simula minacce e attacchi realistici. Questo differisce da altre forme di test come il static application security testing (SAST), una metodologia di test white-box utilizzata per esaminare il codice sorgente di un&#39;applicazione.

DAST include una serie di componenti di test che operano mentre un&#39;applicazione è in esecuzione. I professionisti della sicurezza simulano la funzionalità del mondo reale testando l&#39;applicazione per vulnerabilità e poi valutano gli effetti sulle prestazioni dell&#39;applicazione. La metodologia è spesso utilizzata per trovare problemi verso la fine del ciclo di vita dello sviluppo del software. Questi problemi possono essere più difficili da risolvere rispetto ai difetti e bug iniziali, ma quei difetti rappresentano una minaccia maggiore per i componenti critici di un&#39;applicazione.

DAST può anche essere considerato una metodologia. È un approccio diverso rispetto ai test di sicurezza tradizionali perché una volta completato un test, ci sono ancora test da fare. Comporta ispezioni periodiche man mano che gli aggiornamenti vengono resi disponibili o vengono apportate modifiche prima del rilascio. Mentre un test di penetrazione o una scansione del codice possono servire come test una tantum per vulnerabilità o bug specifici, i test dinamici possono essere eseguiti continuamente durante il ciclo di vita di un&#39;applicazione.

Vantaggi chiave del software di Dynamic Application Security Testing (DAST)

- Simulare attacchi e minacce realistici
- Scoprire vulnerabilità non trovate nel codice sorgente
- Opzioni di test flessibili e personalizzabili
- Valutazione completa e test scalabili

### Perché utilizzare il software di Dynamic Application Security Testing (DAST)?

Esistono numerose soluzioni di test necessarie per un approccio completo ai test di sicurezza e alla scoperta delle vulnerabilità. La maggior parte inizia nelle prime fasi dello sviluppo del software e aiuta i programmatori a scoprire bug nel codice e problemi con il framework o il design sottostante. Questi test richiedono l&#39;accesso al codice sorgente e sono spesso utilizzati durante i processi di sviluppo e assicurazione della qualità (QA).

Mentre le soluzioni di test iniziali affrontano i test dal punto di vista dello sviluppatore, DAST affronta i test dal punto di vista di un hacker. Questi strumenti simulano minacce reali a un&#39;applicazione funzionante e in esecuzione. I professionisti della sicurezza possono simulare attacchi comuni come l&#39;iniezione SQL e il cross-site scripting o personalizzare i test per minacce specifiche al loro prodotto. Questi strumenti offrono una soluzione altamente personalizzabile per i test durante le fasi avanzate dello sviluppo e mentre le applicazioni sono distribuite.

**Flessibilità —** Gli utenti possono programmare i test come desiderano o eseguirli continuamente durante il ciclo di vita di un&#39;applicazione o di un sito web. I professionisti della sicurezza possono modificare gli ambienti per simulare le loro risorse e infrastrutture per garantire un test e una valutazione realistici. Sono spesso scalabili, inoltre, per vedere se un aumento del traffico o dell&#39;uso influirebbe sulle vulnerabilità e sulla protezione.

Le industrie con minacce più specifiche possono richiedere test più specifici. I professionisti della sicurezza possono identificare una minaccia specifica per il settore sanitario o finanziario e modificare i test per simulare le minacce più comuni per loro. Se eseguiti correttamente, questi strumenti offrono alcune delle soluzioni più realistiche e personalizzabili alle minacce presenti in situazioni del mondo reale.

**Completezza —** Le minacce sono in continua evoluzione ed espansione, rendendo la capacità di simulare più test più necessaria. DAST offre un approccio versatile ai test, in cui i professionisti della sicurezza possono simulare e analizzare ogni tipo di minaccia o attacco individualmente. Questi test forniscono feedback completi e approfondimenti azionabili che i team di sicurezza e sviluppo utilizzano per correggere eventuali problemi, difetti e vulnerabilità.

Questi strumenti eseguiranno prima una scansione iniziale, o esame, delle applicazioni e dei siti web da una prospettiva di terze parti. Interagiscono con le applicazioni utilizzando HTTP, consentendo agli strumenti di esaminare applicazioni costruite con qualsiasi linguaggio di programmazione o su qualsiasi framework. Lo strumento testerà quindi per configurazioni errate, che espongono una superficie di attacco maggiore rispetto alle vulnerabilità interne. Possono essere eseguiti test aggiuntivi, a seconda della soluzione, ma tutti i risultati e le scoperte possono essere archiviati per una correzione azionabile.

**Valutazione continua —** I team agili e altre aziende che si affidano a frequenti aggiornamenti delle applicazioni dovrebbero utilizzare prodotti DAST con capacità di valutazione continua. Gli strumenti SAST forniranno soluzioni più dirette per i problemi relativi ai processi di integrazione continua, ma gli strumenti DAST forniranno una visione migliore di come gli aggiornamenti e le modifiche saranno visti da una prospettiva esterna. Ogni nuovo aggiornamento può rappresentare una nuova minaccia o rivelare una nuova vulnerabilità; è quindi cruciale continuare a testare anche dopo che le applicazioni sono state completate e distribuite.

A differenza di SAST, DAST richiede anche meno accesso al codice sorgente potenzialmente sensibile all&#39;interno dell&#39;applicazione. DAST affronta la situazione da una prospettiva esterna mentre le minacce simulate tentano di accedere a sistemi vulnerabili o informazioni sensibili. Questo può rendere più facile eseguire test continuamente senza richiedere agli individui di accedere al codice sorgente o ad altri sistemi interni.

### Quali sono le caratteristiche comuni del software di Dynamic Application Security Testing (DAST)?

La funzionalità standard è inclusa nella maggior parte delle soluzioni di dynamic application security testing (DAST):

**Test di conformità —** I test di conformità danno agli utenti la possibilità di testare per vari requisiti da parte degli enti regolatori. Questo può aiutare a garantire che le informazioni siano archiviate in modo sicuro e protette dagli hacker.

**Automazione dei test —** L&#39;automazione dei test è la funzionalità che alimenta i processi di test continui. Questa funzionalità opera eseguendo test pre-scritti con la frequenza richiesta senza la necessità di test manuali o pratici.

**Test manuale —** Il test manuale dà all&#39;utente il controllo completo sui singoli test. Queste funzionalità consentono agli utenti di eseguire simulazioni dal vivo e test di penetrazione.

**Strumenti da riga di comando —** L&#39;interfaccia della riga di comando (CLI) è l&#39;interprete del linguaggio di un computer. Le capacità CLI consentiranno ai tester di sicurezza di simulare minacce direttamente dal sistema host del terminale e di inserire sequenze di comandi.

**Analisi del codice statico —** L&#39;analisi del codice statico e il test di sicurezza statico sono utilizzati per testare dall&#39;interno verso l&#39;esterno. Questi strumenti aiutano i professionisti della sicurezza a esaminare il codice sorgente dell&#39;applicazione per difetti di sicurezza senza eseguirlo.

**Tracciamento dei problemi —** Il tracciamento dei problemi aiuta i professionisti della sicurezza e gli sviluppatori a documentare difetti o vulnerabilità man mano che vengono scoperti. Una documentazione adeguata renderà più facile organizzare gli approfondimenti azionabili forniti dallo strumento DAST.

**Reportistica e analisi —** Le capacità di reportistica sono importanti per gli strumenti DAST perché forniscono le informazioni necessarie per correggere eventuali vulnerabilità recentemente scoperte. Le funzionalità di reportistica e analisi possono anche dare ai team un&#39;idea migliore di come gli attacchi possono influire sulla disponibilità e sulle prestazioni dell&#39;applicazione.

**Estensibilità —** Molte applicazioni offrono la possibilità di espandere la funzionalità attraverso l&#39;uso di integrazioni, API e plugin. Questi componenti estensibili forniscono la possibilità di estendere la piattaforma oltre il suo set di funzionalità native per includere funzionalità e caratteristiche aggiuntive.

### Problemi potenziali con il software di Dynamic Application Security Testing (DAST)

**Copertura dei test —** Nonostante le tecnologie DAST abbiano fatto molta strada, gli strumenti DAST da soli non sono in grado di scoprire la maggior parte delle vulnerabilità. Questo è il motivo per cui la maggior parte degli esperti suggerisce di abbinarli a soluzioni SAST. Combinare i due può ridurre il tasso di falsi positivi. Possono anche essere utilizzati per semplificare il processo di test continuo per i team agili. Sebbene nessuno strumento rileverà ogni vulnerabilità, DAST può essere meno efficiente rispetto ad altri strumenti di test se utilizzato da solo.

**Problemi in fase avanzata —** Gli strumenti DAST richiederanno che il codice sia compilato per ogni test individuale perché si basano su funzionalità simulate per testare le risposte. Questo può essere un ostacolo per i team agili che integrano costantemente nuovo codice in un&#39;applicazione. I report sono solitamente statici e derivano da test singoli. Per i team agili, quei report possono diventare obsoleti e perdere valore molto rapidamente. Questo è solo un altro motivo per cui gli strumenti DAST dovrebbero essere utilizzati come componente di uno stack di test di sicurezza completo piuttosto che come soluzione autonoma.

**Capacità di test —** Poiché gli strumenti DAST non accedono al codice sorgente sottostante di un&#39;applicazione, ci sono una serie di difetti che gli strumenti DAST non saranno in grado di rilevare. Ad esempio, gli strumenti DAST sono più efficaci nel simulare attacchi di riflessione, o call-and-response, dove possono simulare un input e ricevere una risposta. Non sono, tuttavia, altamente efficaci nel scoprire vulnerabilità o difetti minori in aree dell&#39;applicazione che sono raramente toccate dagli utenti. Questi problemi, così come le vulnerabilità nel codice sorgente originale, dovranno essere affrontati da tecnologie di test di sicurezza aggiuntive.

### Software e servizi correlati al software di Dynamic Application Security Testing (DAST)

La maggior parte del software di sicurezza si concentra sulle vulnerabilità delle reti e dei dispositivi. Non tutti, ma alcuni, sono utilizzati specificamente per i test. Ma ci sono molti modi diversi per affrontare l&#39;argomento, e utilizzare una combinazione di strumenti e metodi di test è sempre più efficace che affidarsi a un solo strumento. Questi sono alcuni strumenti di sicurezza utilizzati per vari scopi di test.

[**Software di static application security testing (SAST)**](https://www.g2.com/categories/static-application-security-testing-sast) **—** Gli strumenti SAST sono utilizzati per ispezionare il codice sorgente sottostante di un&#39;applicazione, rendendoli il complemento perfetto per gli strumenti DAST. L&#39;uso degli strumenti in tandem è spesso chiamato interactive application security testing (IAST). Questo può aiutare a combinare la natura black-box di DAST e la natura white-box di SAST per trovare errori sia nel codice sorgente che negli errori di funzionalità e componenti di terze parti di un&#39;applicazione.

[**Scanner di vulnerabilità**](https://www.g2.com/categories/vulnerability-scanner) **—** Alcune persone usano il termine scanner di vulnerabilità per descrivere gli strumenti DAST, ma in realtà DAST è solo un componente della maggior parte degli scanner di vulnerabilità. Gli strumenti DAST sono specifici per le applicazioni, mentre gli scanner di vulnerabilità forniscono tipicamente un set più ampio di funzionalità per la gestione delle vulnerabilità, la valutazione del rischio e i test continui.

[**Software di analisi del codice statico**](https://www.g2.com/categories/static-code-analysis) **—** Gli strumenti di analisi del codice statico sono più simili a SAST che a DAST, in quanto sono utilizzati per valutare il codice sorgente di un&#39;applicazione. Questi strumenti sono meno orientati alla sicurezza ma possono fornire capacità SAST. Sono tipicamente utilizzati per scansionare il codice per una serie di difetti che includono bug, vulnerabilità di sicurezza, problemi di prestazioni e qualsiasi altro problema che può presentarsi se il codice sorgente non è testato e ottimizzato.