Сравнение характеристик и цен на платформы для непрерывной проверки / статического тестирования безопасности приложений

Хотя я был бы счастлив оказаться неправым, я думаю, что ответ отрицательный , в открытом доступе нет такого сравнения, которое включает в себя коммерческие инструменты.

Первая причина заключается в том, что коммерческие поставщики обычно предлагают свои инструменты потенциальным клиентам только на условиях соглашения о неразглашении. Таким образом, хотя потенциальные клиенты часто проводят собственное внутреннее сравнение перед покупкой, они не могут опубликовать результаты.

Вторая причина связана с вашим запросом на «репрезентативное» сравнение. Я предполагаю, что вы имеете в виду сравнение, которое точно предскажет, как инструменты будут работать в вашей среде разработки. К сожалению, ценность данного инструмента часто во многом зависит от языков программирования, культуры разработки и внутренней политики принимающей организации. Например, некоторые инструменты отдают приоритет низкому уровню ложных срабатываний (низкий уровень шума), в то время как другие отдают предпочтение тому, чтобы ничего не упускать из виду (низкий уровень ложноотрицательных результатов), и какой из них предпочтительнее, очень субъективен и зависит от организации. Существует ряд измерений в области разработки инструментов, которые также объективно несопоставимы, и инструменты находятся в разных точках в этом пространстве.

Однако, хотя поставщики инструментов требуют NDA для проведения оценки, в остальном это обычно бесплатно (не считая того времени, которое вы решите потратить на это). Если вы ищете коммерческий инструмент, вы можете связаться с интересующими поставщиками, чтобы организовать его оценку.

Раскрытие информации: я бывший сотрудник одного из поставщиков (Coverity/Synopsys) и имею текущие финансовые интересы в отношении нескольких поставщиков.