Fortify WebInspect のレビューと最良の代替案
動的アプリケーションセキュリティテスト (DAST) は、サイバーセキュリティ業界の非常に特殊な分野です。 DAST ツールは、Web アプリケーションをテストするのに便利です。 Web ページまたは API のさまざまな機能をアクティブにして、その動作をテストします。 DAST は Web アプリケーションのセキュリティを調査することを目的としているため、何らかの方法でアプリケーションを破壊する試みを実行します。
Web検査 は、Wen アプリケーションのセキュリティの弱点を調査する DAST ツールです。このセキュリティシステムの正式名称は、 WebInspect の強化 。 Fortify 製品ラインは、 マイクロフォーカス これはシステムのセキュリティをテストすることを目的としています。したがって、WebInspect は、サイバーセキュリティの経験が豊富なソフトウェア エンジニアによって作成されたツール ファミリの一部です。
WebInspect は何をするのですか?
Fortify Software は Micro Focus の一部門であり、セキュリティおよび検証システム、特に DAST、SAST、および IAST サービスを専門としています。 WebInspect は以下に焦点を当てた製品です。 Webアプリケーションのセキュリティテスト 。このシステムは、アプリケーション開発時や、新しい Web アプリケーションやサービスの購入を検討する際の評価サービスとして利用できます。たとえば、開発プロジェクト チームは、このツールを使用して次のことを確認します。 API 使用を検討している可能性があり、IT 運用チームがこのツールを使用して稼働中の Web サイトを評価する可能性があります。
システムは、Web アプリケーション内の機能を処理するためにクローラーをデプロイし、 オープンAPI API をテストします。テスト プラットフォームによって実装される正確なテスト方法は、特定の目標に照らしてチェックするように調整できます。このシステム構成は、以下を含むライブラリから事前に作成されたテンプレートを適用することで設定できます。 コンプライアンステスト PCI DSS、DISA STIG、NIST 800-53、ISO 27K、OWASP、および HIPAA 標準に準拠しています。
WebInspect を導入するにはどうすればよいですか?
WebInspect は オンプレミスのパッケージ 。 Windows Server 2016 および 2019 または Windows 8、8.1、および 10 にインストールされます。バージョンは Docker 上で実行されますが、基盤となるオペレーティング システムが Windows または Windows Server である必要もあります。
システムは次のように動作します 代理人 Web トラフィックをキャプチャするため、DAST 検査のターゲットにはブラウザ経由でアクセスできる必要があります。 WebInspect サービスは、検査対象のアプリケーション ホストとブラウザーの間を行き来するメッセージを監視します。さらに、このサービスは、完全な Web ページを表さない API および関数のテスト シューを提供します。
WebInspect によって実装されるスキャンは、オンデマンドで起動したり、スケジュールに基づいて起動したり、継続的に実行するように設定したりできます。連続モードは、次への統合に適しています。 CI/CD パイプライン 。
Fortify WebInspect は、 15日間の無料トライアル 。
WebInspect の長所と短所
Fortify WebInspect を評価する際、私たちはその良い点と悪い点を特定しました。
長所:
- 広く導入され安定した長年の設備
- CI/CDパイプラインとの統合が可能
- 特定のデータプライバシー基準に合わせて自動調整
- オンプレミス展開により機密性が保証されます
- オンデマンド、スケジュール、または継続的な実行のオプション
短所:
- SAST機能なし
Fortify は、静的コード アナライザーと呼ばれる SAST モジュールを含む他のシステム テスト サービスも提供しています。これを WebInspect と組み合わせて完全な IAST スイートを取得することが可能です。同社は、Fortify on Demand と呼ばれる複合テスト サービスも提供しています。これは SaaS プラットフォーム それは提供します ダスト 、 SAST 、 IAST 、 そして モバイルアプリケーションのテスト 。
Fortify WebInspect の代替手段
DAST はニッチな市場ですが、DAST を実行するために利用できるツールは驚くほどたくさんあります。これらすべてが WebInspect の適切な代替手段として数えられるわけではありません。ただし、システム セキュリティ テスト ツールを作成する Fortify チームの能力は並外れたものであり、DAST 市場で同社の追随を許さない企業です。
WebInspect の代替手段を選択するための方法論
私たちは DAST ツールの市場を調査し、次の基準に基づいてオプションを分析しました。
- SaaS プラットフォームまたはオンプレミスのインストールとして利用可能なオプション
- オンデマンド、スケジュールに従って、または継続的に実行できるサービス
- 完全な対話型アプリケーション セキュリティ テスト (IAST) サービスを提供する静的コード分析 (SAST) があると便利です
- 発見されたエラーや弱点の修正を推奨するシステム
- ツールを CI/CD パイプラインに統合するオプション
- 無料トライアル、デモ システム、または返金保証
- コストパフォーマンスが良い
当社のセレクションには、ライブ Web アプリの評価や開発中のアプリのテストに使用できるツールが含まれています。
Fortify WebInspect に代わる 8 つの最適な代替手段のリストは次のとおりです。
- 無敵 (無料デモにアクセス) ) Web アプリケーション セキュリティ テスト ツールのこの包括的なパッケージには、静的コード スキャン (SAST) と DAST サービスが含まれており、開発プロジェクトに統合したり、ライブ アプリ テストに使用したりできる完全な IAST システムを提供します。 SaaS プラットフォームとして、または Windows または Windows Server にインストールして利用できます。
- Acunetix (アクセス無料デモ) SaaS 脆弱性スキャナーをオンサイトにインストールすることもでき、開発テスト用の DAST および SAST オプションを提供します。オンサイト パッケージは、Windows、macOS、および Linux 上で実行されます。
- Rapid7 InsightAppSec 顧客が DAST ツールを使用してペネトレーション テストの専門家による評価を受けるコードを送信する SaaS プラットフォーム。
- GitLab Ultimate は、DevOps パイプラインをサポートするために編成されたクラウドベースの開発プラットフォームであり、ワークフローに DAST テスト ポイントが含まれています。
- Veracode の動的分析 ソリューションの専門アドバイザーにアクセスできる、実際の Web アプリまたは開発中の Web アプリの自動 DAST 評価を提供する SaaS システム。
- ディープスキャンの検出 検出スキャン、DAST 評価、修正アドバイスを提供するクラウドベースのテスト システム。
- アプリノックス モバイル アプリを評価するために特別に設計されたクラウドベースの自動テスト サービス。 DAST、DAST、API テスト モジュールから選択します。
- チェックマークスのケーキ このインタラクティブなアプリケーション セキュリティ テスト システムは、クラウド プラットフォームからの DAST と SAST システム チェックを組み合わせたものです。
これらの各オプションの詳細については、次のセクションで説明します。
WebInspect を強化するための 8 つの最良の代替案
1. 無敵 (編集者の選択)
無敵開発テストや 脆弱性スキャン 既存の Web アプリケーションの。このサービスには WebInspect サービスよりも少し優れたサービスが含まれています。 静的および動的解析 すぐに使えるアプリの数 – WebInspect を使用すると、これら 2 つの機能が別個のモジュールで提供されます。 Invicti のこの組み合わせにより、完全な機能が提供されます。 IAST システム。
Invicti には検出サービスが含まれています。これは、既存の Web アプリ、特に新しい開発に含めるかどうかを評価する API をスキャンするのに役立ちます。さらに、検出モジュールは、相互依存関係をマッピングするのに役立ちます。 ソースマップ アプリケーション間の接続でデータ漏洩の可能性を検査する必要がある統合テスト用。
Invicti の柔軟性により、脆弱性スキャン、ペネトレーション テスト、または継続的なテストに使用できます。 開発ライフサイクル 。スキャンはオンデマンドまたはスケジュールで起動できます。さらに、サービスのテスト目標は、HIPAA や PCI DSS などのデータ プライバシー標準への準拠を強制するように調整できます。
Invicti のホスト型バージョンと、 オンプレミスパッケージ 。ホストされたシステムは、履歴分析のために長期にわたってスキャン結果を保存するスペースを含む、完全な SaaS プラットフォームです。オンプレミス版は次の場所にインストールされます ウィンドウズ そして Windowsサーバー 。無料のデモにアクセスできます。
編集者の選択
無敵は、API を含むすべての Web アプリケーションをチェックする IAST サービスを提供する単一の DAST および SAST 関数パッケージを提供するため、Fortify WebInspect の強力な競合相手です。このツールは、既存の Web アプリケーションの防止や、開発中のモジュールのテストに役立ちます。そのため、Invicti は CI/CD パイプラインと IT 運用スタッフの両方に使用できます。
デモを入手する : invicti.com/get-demo/
オペレーティング·システム : SaaS または Windows および Windows Server へのインストール用
二。 Acunetix (アクセス無料デモ)
アキュネティックス は、3 つの形式で利用できる脆弱性スキャナーです。このシステムは、Web アプリケーションのオンデマンド脆弱性スキャン、Web アプリケーションとネットワークのスケジュールされた定期スキャン、またはシステム内の統合テストに適しています。 CI/CD パイプライン 。
Acunetix で受けられるサービスは、選択したプランによって異なります。の 標準 このプランでは、オンデマンドの脆弱性スキャンを提供します。これは、Web アプリの侵入テスト ツールとしても使用できます。 7,000 件の脆弱性をスキャンします。 OWASP トップ 10 。
見てください プレミアム Web アプリケーションのスキャンを自動化し、ネットワーク脆弱性スキャンを追加することを計画しています。自動化された 内部スキャン 50,000 以上の弱点を発見します。
Acunetix は SaaS プラットフォームとして提供されます。ただし、ソフトウェアをパッケージとして入手してホストにインストールすることもできます。このバージョンは以下で利用可能です ウィンドウズ 、 マックOS 、 そして Linux 。デモ システムにアクセスして、Acunetix を無料で評価してください。
アキュネティクス 360 は最上位のプランで、Web アプリケーションの脆弱性スキャンを提供しますが、Web アプリケーションでのテストにも使用できます。 CI/CD パイプライン 。開発シナリオでは、DAST 戦略を運用するテスト システムを継続的に実行するようにセットアップします。パッケージには、SAST を提供するコード スキャン システムも含まれています。
デモを入手する : acunetix.com/web-vulnerability-scanner/demo/
オペレーティング·システム : SaaS または Windows および Windows Server へのインストール用
3. Rapid7 InsightAppSec
ラピッド7 Metasploit のスポンサーであり、Metasploit Professional を制作しています。それに加えて、侵入テストと脆弱性スキャン サービスも提供しています。 InsightAppSec DAST システムを提供するパッケージ。
このサービスは、オンデマンドおよびスケジュールされた Web アプリケーションの脆弱性スキャンを提供します。 OWASP トップ 10 。これはクラウド プラットフォームであるため、サービスは 1 つの特定のサーバーまたは単一のサイトに常駐するシステムの監視に限定されません。このサービスは、開発中の非公開アプリケーションを確認するためにも利用できます。
Rapid7 InsightAppSec によって実行されるテストは、特定の環境に合わせて再調整できます。 データプライバシー標準 。ツールの設定で標準を指定すると、テスターのすべてのテストと目標がそれに応じて自動的に調整されます。このシステムは、申請書の一部として提出するのに適したアプリケーション検証ドキュメントを作成することもできます。 コンプライアンス証明 パッケージ。
Rapid7 InsightAppSec にアクセスして評価できます。 30日間の無料トライアル 。
四。 GitLab Ultimate
GitLab は、テスト システムを含むクラウドベースの開発環境です。 DevOps サポート システムは、次の 3 つのエディションで提供されます。 無料 、 プレミアム 、 そして 究極の 。テスト プラットフォームは、Ultimate プランにのみ含まれています。
GitLabs Ultimate パッケージのテスト サービスは、 ダスト システム。 Web アプリケーションをスキャンしてマッピングする検出サービスを実行できます。 依存関係 。さらに、このシステムは API を介してトレースし、バッキング手順のテストを実行できます。テスターは、次のスタイルでオンデマンドで起動できます。 脆弱性スキャン、 または、スケジュールに基づいて実行したり、次のように設定したりすることもできます。 継続的に実行する 。
Ultimate プランのテスト サービスにはコード スキャンも含まれています SASTサービス 利用可能。この静的評価サービスは、コードのセキュリティを評価し、改善の余地がある領域を特定します。テスト サービスを使用して、 ライセンス準拠 。
GitLab Ultimate は次の目的で利用できます。 30日間の無料トライアル 。
5. Veracode の動的分析
Veracode の動的分析 は、開発中の Web アプリケーションで見つかった 150 以上の典型的なセキュリティ エラーを検索するクラウドベースの DAST テスト プラットフォームです。これは、CI/CD パイプラインに適合するように設計されたサービスです。テスト サービスは、発見された弱点を修正するためのコードの変更に関する推奨事項を生成します。
テスト設備には自動および 連続検出 コードをテストできるようにするスクリプト システムを提供します。 インタラクティブな要素 。これは、ログイン画面や顧客のチェックアウトなどのアクティビティをテストするアクションを発行する機能で構成されます。これらのテストを使用すると、成功したことを確認できます。 交流 アクセス権マネージャーやデータベースなどのシステムを使用します。
テストは、Veracode システム画面に URL を入力するか、無人実行で多くの新しいアプリケーションをバッチテストするための URL のリストを含むファイルをロードすることによって開始されます。これ ダスト テストの起動をプロジェクト管理および開発タスク自動化システムに統合できるため、新しいモジュールが CI/CD パイプラインに沿って移動するとテストが自動的に行われます。
Veracode 動的分析は次のように利用できます。 デモシステム 評価のために。
6. ディープスキャンの検出
ディープスキャンの検出 使いやすいものを提供します ウェブインターフェース DAST テストを開始します。テストは、スキャンする URL を入力するか、システムの検出サービスを使用して Web アプリケーションを検索し、依存関係をマップすることで設定できます。
テストシステムが導入される ダスト Web アプリケーションのブラックボックス テスト。OWASP Top 10 と独自のデータベースに重点を置いています。 ゼロデイ Detectify システムが多くのクライアントに対して実装を実行中に発見する脆弱性。 Detectify システムは、コミッション中にツールを自ら使用するペネトレーション テスト チームによって組み立てられました。このグループがコンサルティング業務で発見した新しい攻撃と弱点も、Detectify レポートに追加されます。 脆弱性の悪用 データベース。
Detectify Deep Scan は、次のような場合に使用するのに適しています。 侵入テスト、 として使用することもできます 脆弱性スキャナー Web アプリケーション用。このツールは、CI/CD パイプラインに統合して継続的に実行するように設定できます。の SaaS プラットフォーム はスウェーデンでホストされており、料金はユーロで設定されます。サービスをご利用いただけるのは、 2週間の無料トライアル 。
7。 アプリノックス
アプリノックス は、モバイル アプリケーションをテストするために特別に構築された特殊なテスト プラットフォームです。このクラウドベースのシステムのユーティリティは次の目的で使用できます。 侵入テスト そして 脆弱性テスト 。このサービスは、開発環境に統合して、開発者、システム テスター、受け入れテスター、IT 運用チームにモバイル アプリの DevOps 制作とメンテナンスを提供することもできます。
Appknox サービスは 3 つのエディションで利用できます。これらは 不可欠 、 プロ 、 そして 企業 。このプラットフォームはさまざまなテスト戦略を提供しており、すべてのプランには静的テストが含まれています ( SAST ) および動的テスト ( ダスト ) オプション。これにより、完全な機能が提供されます。 IAST サービス。ライブラリ内のテストは、開発ライフサイクルの各段階でのさまざまなニーズに適しています。
標準の Appknox プランが提供するもの テストの自動化 サービス。ただし、追加で利用できる人間主導のサービスもあります。これらには、セキュリティ専門家によるコード評価や侵入テスト サービスが含まれます。
8. チェックマークスのケーキ
チェックマークスのケーキ は、コード スキャン サービスとブラック ボックス テスト システムを含む、対話型のアプリケーション セキュリティ テスト プラットフォームです。この組み合わせにより、各 Web アプリケーションの内部および外部からのテストが可能になります。の組み合わせ SAST そして ダスト 開発ライフサイクルの各ステップで必要なさまざまなテストを開発チームに提供します。さらに、テスト システムを CI/CD パイプライン 。
cIAST の DAST サービスは、 OWASP トップ 10 これには、データベース、認証システム、および Web アプリケーション自体へのアクセスが含まれます。このツールは、 問題トラッカー プロジェクト ワークフロー マネージャーは、テスト中に問題が発生した場合にモジュールを開発者に送り返します。問題レポートでは問題が強調表示され、修正が提案されます。