第四章  化工检测技术应用




              的趋势，以前作为代码审计类产品的功能组件，目前有些厂家推出了独立的产品，
              也许在不远的将来，会作为单独的技术产品进行评测。应用安全检测传统上是按
              照产品模式交付的，在云计算大行其道的当下，越来越多的厂商倾向于采用订阅
              服务的方式，其优势在于降低一次投入成本，促进成交，同时也加强用户黏性，

              实现长期合作的目的，也减少传统交易模式下的维保和软件更新的客户困扰。其
              缺点是不适用于国内用户的采购习惯和采购规程，因此在国内尤其是石化企业中
              推广困难。
                  （四）应用安全主流供应商特点分析
                  1.HCLSoftware

                  其实就是 IBM 的应用安全旗舰产品 Appscan，前几年售卖给 HCL，其
              DAST 是安全测评机构、安全团队和安全人员的必备工具，和 HP 的 fortify 同为
              元老级的应用安全检测工具。在 2020 年的魔力象限中可能是因为换了新东家，

              暂时失去领导者地位，今年重回领导者象限，但与业界领先者的差距还是较大。
              HCL 继承了 IBM 产品线全的特点，解决方案包括 SAST，DAST 和 IAST，也分
              别提供标准版和企业版，而且通过 Asoc 提供 SaaS 服务，此外通过 ICA 和 IFA
              技术，提高了检测速率和降低了误报率，但是 IBM 没有 SCA，其企业版通过和

              BD 集成完善此部分功能。IAST 的能力和其他竞争对手相比尚未得到认可。在石
              化行业，Appscan 的动态检测技术引入时间长，检测范围广，其完整性和权威性
              还是有保障的，但是 IBM 产品优势和劣势都在于产品过“重”，其功能的大而
              全在效率上就不是特突出，而且所谓的整体解决方案意味着技术之间的耦合性较

              强，要实现 IBM 描绘的完整功能蓝图可能需要采用从开发环境、集成系统和检
              测平台的整套方案。
                  2.MicroFocus
                  又是一个长着新面孔的老朋友，MicroFocus 收购了 HP 的安全检测产品
              线，将 Webinspect 和 Fortify 纳入麾下。在应用检测方面，HP 的基础比 IBM

              更深厚，产品全，品牌认知度更高，除了具备自己的 SCA 外，也能和 BD 集
              成，DevInspect 做得比较成熟、开发过程集成度较高。HP 将此业务转让给
              MicroFocus，从绝对的领头羊地位跌落，目前虽然还处于第一象限，但和HCL一样，

              相对落后了，用户普遍反映配置复杂、学习量大、易用性较差。在实测过程中，
              Fortify 还是偏重与客户端部署，与云端服务的发展趋势不是很一致，当然客户端


                                                                                  ·109·