Examen de Fortify WebInspect et meilleures alternatives
Tests de sécurité des applications dynamiques (DAST) est un domaine très spécialisé dans l'industrie de la cybersécurité. Les outils DAST sont pratiques pour tester les applications Web. Ils activent diverses fonctionnalités dans une page Web ou une API pour tester son comportement. Comme DAST vise à sonder la sécurité de l’application Web, il tente de s’introduire dans le but de corrompre l’application d’une manière ou d’une autre.
WebInspecter est un outil DAST qui sonde les failles de sécurité des applications Wen. Le nom complet de ce système de sécurité est Fortifier WebInspect . La gamme de produits Fortify est une propriété de Micro mise au point qui est destiné à tester la sécurité du système. Ainsi, WebInspect fait partie d'une famille d'outils créés par des ingénieurs logiciels très expérimentés en cybersécurité.
Que fait WebInspect ?
Fortify Software est une division de Micro Focus et se spécialise dans les systèmes de sécurité et de vérification, en particulier les services DAST, SAST et IAST. WebInspect est un produit qui se concentre sur Tests de sécurité des applications Web . Le système peut être utilisé lors du développement d'applications et comme service d'évaluation lors de l'achat de nouvelles applications et services Web. Par exemple, une équipe de projet de développement utiliserait l'outil pour vérifier une API qu'il pourrait envisager d'utiliser, et une équipe des opérations informatiques utiliserait l'outil pour évaluer les sites Web en ligne.
Le système déploie un robot pour parcourir les fonctions d'une application Web et utilise OuvrirAPI pour tester les API. Les méthodes de test exactes mises en œuvre par la plate-forme de test peuvent être adaptées pour vérifier des objectifs spécifiques. Cette configuration système peut être définie en appliquant un modèle pré-écrit à partir d'une bibliothèque qui comprend tests de conformité aux normes PCI DSS, DISA STIG, NIST 800-53, ISO 27K, OWASP et HIPAA.
Comment déployer WebInspect ?
WebInspect est un package sur site . Il s'installe sur Windows Server 2016 et 2019 ou Windows 8, 8.1 et 10. Une version s'exécutera sur Docker, mais cela nécessite également que le système d'exploitation sous-jacent soit Windows ou Windows Server.
Le système fonctionne comme un proxy qui capture le trafic Web, de sorte que la cible de votre inspection DAST doit être accessible via un navigateur. Le service WebInspect surveille les messages qui circulent entre l'hôte de l'application examinée et le navigateur. De plus, le service fournit une chaussure de test pour les API et les fonctions qui ne représentent pas une page Web complète.
Les analyses mises en œuvre par WebInspect peuvent être lancées à la demande, selon un calendrier ou configurées pour s'exécuter en continu. Le mode continu est adapté à l'intégration dans Pipelines CI/CD .
Vous pouvez évaluer Fortify WebInspect sur un Essai gratuit de 15 jours .
Avantages et inconvénients de WebInspect
Lors de l’évaluation de Fortify WebInspect, nous avons identifié ses bons et ses mauvais points.
Avantages:
- Une installation historique, largement déployée et stable
- Intégration possible avec les pipelines CI/CD
- Adaptation automatique aux normes spécifiques de confidentialité des données
- Le déploiement sur site garantit la confidentialité
- Options d'exécution à la demande, planifiée ou continue
Les inconvénients:
- Aucune fonction SAST
Fortify propose d'autres services de test de système, qui incluent un module SAST appelé Static Code Analyzer. Il est possible de combiner cela avec WebInspect pour obtenir une suite IAST complète. La société propose également un service de tests combinés appelé Fortify on Demand. C'est une plateforme SaaS qui offre DAST , SAST , IAST , et tests d'applications mobiles .
Alternatives à Fortify WebInspect
Bien que le DAST soit un marché de niche, il existe un nombre surprenant d’outils disponibles pour le réaliser. Tous ne peuvent pas être considérés comme des alternatives appropriées à WebInspect. Cependant, les capacités de l'équipe Fortify en matière de production d'outils de test de sécurité des systèmes sont exceptionnelles et l'entreprise est difficile à égaler sur le marché DAST.
Notre méthodologie pour sélectionner une alternative à WebInspect
Nous avons examiné le marché des outils DAST et analysé les options en fonction des critères suivants :
- Options disponibles en tant que plateforme SaaS ou pour une installation sur site
- Un service qui peut être exécuté à la demande, selon un planning ou en continu
- C'est bien d'avoir une analyse de code statique (SAST) pour fournir un service complet de tests de sécurité des applications interactives (IAST)
- Un système qui recommande des correctifs pour les erreurs et les faiblesses découvertes
- La possibilité d'intégrer l'outil dans un pipeline CI/CD
- Un essai gratuit, un système de démonstration ou une garantie de remboursement
- Bon rapport qualité prix
Notre sélection comprend des outils qui peuvent être utilisés pour évaluer des applications Web en direct ou pour tester des applications en cours de développement.
Voici notre liste des huit meilleures alternatives à Fortify WebInspect :
- Invincible (ACCÈS DÉMO GRATUIT ) Ce package complet d'outils de test de sécurité des applications Web comprend l'analyse de code statique (SAST) ainsi que les services DAST pour fournir un système IAST complet qui peut être intégré dans des projets de développement ou utilisé pour des tests d'applications en direct. Disponible sous forme de plateforme SaaS ou pour installation sur Windows ou Windows Server.
- Acunetix (ACCÈS DÉMO GRATUIT) Un scanner de vulnérabilités SaaS peut également être installé sur site et propose des options DAST et SAST pour les tests de développement. Le package sur site fonctionne sous Windows, macOS et Linux.
- Rapid7 InsightAppSec Une plate-forme SaaS à laquelle le client soumet son code pour évaluation par des experts en tests d'intrusion à l'aide des outils DAST.
- GitLab Ultime est une plate-forme de développement basée sur le cloud organisée pour prendre en charge les pipelines DevOps et inclut des points de test DAST dans le flux de travail.
- Analyse dynamique Veracode Un système SaaS qui propose des évaluations DAST automatisées pour les applications Web en cours de développement ou en cours de développement avec accès à des conseillers experts pour les solutions.
- Détecter l'analyse approfondie Un système de test basé sur le cloud qui fournit une analyse de découverte, des évaluations DAST et des conseils de correction.
- Appknox Service de tests automatisés basé sur le cloud, spécialement conçu pour évaluer les applications mobiles. Choisissez entre les modules de test DAST, DAST et API.
- GÂTEAUX Checkmarx Ce système interactif de test de sécurité des applications combine les contrôles des systèmes DAST et SAST à partir d'une plateforme cloud.
Vous pouvez en savoir plus sur chacune de ces options dans les sections suivantes.
Les huit meilleures alternatives à Fortify WebInspect
1. Invincible (CHOIX DE L'ÉDITEUR)
Invinciblepeut être utilisé pour les tests de développement ou pour analyse des vulnérabilités des applications Web existantes. Ce service est un peu meilleur que le service WebInspect car il inclut à la fois analyse statique et dynamique d'applications prêtes à l'emploi – avec WebInspect, ces deux fonctions sont fournies dans des modules séparés. Cette combinaison dans Invicti fournit une solution complète IAST système.
Invicti comprend un service de découverte. Ceci est utile pour analyser les applications Web existantes, en particulier les API que vous évaluez pour inclusion dans un nouveau développement. De plus, le module de découverte vous aide à cartographier les interdépendances, ce qui forme un carte des sources pour les tests d'intégration où les connexions entre les applications doivent être examinées pour détecter d'éventuelles fuites de données.
La flexibilité d'Invicti lui permet d'être utilisé pour l'analyse des vulnérabilités, les tests d'intrusion ou les tests continus dans un cycle de vie du développement . Les analyses peuvent être lancées à la demande ou planifiées. De plus, les objectifs de test du service peuvent être ajustés pour garantir la conformité aux normes de confidentialité des données, telles que HIPAA et PCI DSS.
Vous pouvez choisir entre une version hébergée d'Invicti et un package sur site . Le système hébergé est une plate-forme SaaS complète, comprenant un espace pour stocker les résultats d'analyse au fil du temps à des fins d'analyse historique. La version sur site s'installe sur les fenêtres et Serveur Windows . Vous pouvez accéder à une démo gratuite.
LE CHOIX DES ÉDITEURS
Invincibleest un grand concurrent de Fortify WebInspect car il fournit un seul package de fonctions DAST et SAST pour offrir un service IAST qui vérifie toutes les applications Web, y compris les API. Cet outil permet de prévenir les applications Web existantes et également de tester les modules en cours de développement. Ainsi, Invicti peut être utilisé à la fois pour un pipeline CI/CD et par le personnel des opérations informatiques.
Obtenez une démo : invicti.com/get-demo/
Système opérateur : SaaS ou pour installation sur Windows et Windows Server
deux. Acunetix (ACCÈS DÉMO GRATUIT)
Acunetix est un scanner de vulnérabilités disponible en trois formats. Ce système convient à l'analyse des vulnérabilités à la demande des applications Web, aux analyses régulières planifiées des applications Web et des réseaux, ou aux tests intégrés dans un Pipeline CI/CD .
Le service que vous obtenez avec Acunetix dépend du forfait que vous choisissez. Le Standard le plan propose des analyses de vulnérabilité à la demande. Cela peut également être utilisé comme outil de test d’intrusion pour les applications Web. Il recherche 7 000 vulnérabilités, dont Top 10 de l'OWASP .
Regarde le Prime prévoient d'automatiser l'analyse des applications Web et d'ajouter des analyses de vulnérabilité du réseau. L'automatisé analyses internes repérer plus de 50 000 faiblesses.
Acunetix est proposé sous forme de plateforme SaaS. Cependant, il est également possible d'obtenir le logiciel sous forme de package à installer sur votre hébergeur. Cette version est disponible pour les fenêtres , macOS , et Linux . Accédez au système de démonstration pour évaluer Acunetix gratuitement.
Acunetix 360 est le meilleur plan, et il offre une analyse des vulnérabilités pour les applications Web, mais il peut également être utilisé pour des tests dans un Pipeline CI/CD . Dans le scénario de développement, vous configureriez le système de test pour qu'il s'exécute en continu, qui exploite une stratégie DAST. Le package comprend également un système de numérisation de code pour vous offrir SAST.
Obtenez une démo : acunetix.com/web-vulnerability-scanner/demo/
Système opérateur : SaaS ou pour installation sur Windows et Windows Server
3. Rapid7 InsightAppSec
Rapide7 sponsorise Metasploit et produit Metasploit Professional. En plus de cela, Rapid7 propose également le service de test d'intrusion et d'analyse des vulnérabilités. InsightAppSec package, qui fournit un système DAST.
Ce service fournit une analyse planifiée et à la demande des vulnérabilités des applications Web qui couvre Top 10 de l'OWASP . Il s'agit d'une plate-forme cloud, le service ne se limite donc pas à la surveillance des systèmes résidant sur un serveur particulier ou sur un seul site. Le service est également disponible pour vérifier les applications encore privées pendant leur développement.
Les tests effectués par Rapid7 InsightAppSec peuvent être recalibrés pour répondre à un besoin spécifique. norme de confidentialité des données . Vous nommez une norme dans les paramètres de l'outil, et tous les tests et objectifs du testeur sont automatiquement ajustés en conséquence. Le système peut également produire des documents de vérification des demandes pouvant être soumis dans le cadre d'un preuve de conformité emballer.
Vous pouvez évaluer Rapid7 InsightAppSec en accédant à son 30 jours d'essai gratuit .
Quatre. GitLab Ultime
GitLab est un environnement de développement basé sur le cloud qui comprend un système de test. Le système de support DevOps est proposé en trois éditions : Gratuit , Prime , et Ultime . La plateforme de test est uniquement incluse dans le plan Ultimate.
Le service de test du package GitLabs Ultimate offre un DAST système. Il peut exécuter un service de découverte qui analyse les applications Web et cartographie leurs dépendances . De plus, ce système peut tracer via des API et effectuer des tests sur les procédures de support. Le testeur peut être lancé à la demande dans le style de une analyse de vulnérabilité, ou il peut être exécuté selon un calendrier ou configuré pour courir en continu .
Le service de test du plan Ultimate propose également une analyse de code Services SAST disponible. Ce service d'évaluation statique évalue le code en termes de sécurité et identifie les domaines à améliorer. Le service de test peut également être utilisé pour appliquer conformité des licences .
GitLab Ultimate est disponible pour un essai gratuit de 30 jours .
5. Analyse dynamique Veracode
Analyse dynamique Veracode est une plateforme de test DAST basée sur le cloud qui recherche plus de 150 erreurs de sécurité typiques trouvées dans les applications Web en cours de développement. Il s'agit d'un service conçu pour s'intégrer dans le pipeline CI/CD. Le service de test produit des recommandations sur les modifications du code pour corriger les faiblesses découvertes.
Les installations de test comprennent des systèmes automatiques et détection continue et proposer un système de script qui permet au code de tester éléments interactifs . Cela consiste en la possibilité d'émettre des actions pour tester les écrans de connexion et les activités telles que le paiement des clients. Avec ces tests, vous pouvez vérifier la réussite interaction avec des systèmes tels que des gestionnaires de droits d’accès et des bases de données.
Les tests sont lancés en saisissant une URL sur l'écran du système Veracode ou en chargeant un fichier contenant une liste d'URL pour tester par lots de nombreuses nouvelles applications lors d'une exécution sans surveillance. Ce DAST le lancement des tests peut être intégré aux systèmes de gestion de projet et d'automatisation des tâches de développement afin que les tests se produisent automatiquement à mesure qu'un nouveau module se déplace dans le pipeline CI/CD.
L'analyse dynamique Veracode est disponible sous forme un système de démonstration pour évaluation.
6. Détecter l'analyse approfondie
Détecter l'analyse approfondie offre un outil facile à utiliser interface Web pour lancer les tests DAST. Les tests peuvent être configurés en saisissant une URL à analyser ou en utilisant le service Discovery du système pour effectuer une recherche dans vos applications Web et cartographier les dépendances.
Le système de test se déploie DAST tests en boîte noire pour les applications Web, en se concentrant sur le Top 10 OWASP et une base de données propriétaire de jour zéro vulnérabilités que le système Detectify découvre lors de ses implémentations fonctionnelles pour de nombreux clients. Le système Detectify a été assemblé par une équipe de pen testing qui utilise l'outil elle-même lors des commissions. Les nouvelles attaques et faiblesses que ce groupe découvre dans son travail de conseil sont également ajoutées au Detectify. exploits de vulnérabilité base de données.
Detectify Deep Scan peut être utilisé pendant tests de pénétration, et il peut également être utilisé comme scanner de vulnérabilité pour les applications Web. L'outil peut être configuré pour fonctionner en continu, intégré dans un pipeline CI/CD. Le Plateforme SaaS est hébergé en Suède et ses tarifs sont fixés en euros. Le service est disponible pour un essai gratuit de deux semaines .
7. Appknox
Appknox est une plate-forme de test spécialisée spécialement conçue pour tester les applications mobiles. Les utilitaires de ce système basé sur le cloud peuvent être utilisés pour tests de pénétration et tests de vulnérabilité . Le service peut également être intégré aux environnements de développement pour fournir aux développeurs, aux testeurs de systèmes, aux testeurs d'acceptation et aux équipes d'exploitation informatique la production et la maintenance DevOps d'applications mobiles.
Le service Appknox est disponible en trois éditions. Ceux-ci sont Essentiel , Professionnel , et Entreprise . La plate-forme propose une gamme de stratégies de test et tous les plans incluent des tests statiques ( SAST ) et les tests dynamiques ( DAST ) options, ce qui vous donne un aperçu complet IAST service. Les tests de la bibliothèque sont adaptés à différents besoins à chaque étape du cycle de vie de développement.
L'offre de forfaits Appknox standard automatisation des tests prestations de service. Cependant, il existe également des services pilotés par l'homme disponibles en supplément. Ceux-ci incluent l’évaluation du code par des experts en sécurité et des services de tests d’intrusion.
8. GÂTEAUX Checkmarx
GÂTEAUX Checkmarx est une plateforme interactive de test de sécurité des applications qui comprend des services d'analyse de code et des systèmes de test en boîte noire. Cette combinaison propose des tests internes et externes à chaque application Web. La combinaison de SAST et DAST donne à une équipe de développement une gamme de tests nécessaires à chaque étape du cycle de vie du développement. De plus, le système de test peut être intégré au Pipeline CI/CD .
Le service DAST du cIAST recherche les Top 10 de l'OWASP qui couvrent l'accès aux bases de données et aux systèmes d'authentification ainsi qu'à l'application Web elle-même. L'outil peut être intégré dans un Traqueur d'incidents et les gestionnaires de flux de travail du projet pour renvoyer les modules au développeur si des problèmes surviennent pendant les tests. Le rapport de problème mettra en évidence le problème et suggérera des correctifs.