化学分析与检测技术
                     Chemical Analysis and Detection Techniques


             部署有其优越性，其检测功能也依然强大，但从石化信息化发展“一切应用上云”
             的要求来看，显得有些跟不上节奏。
                 3.Checkmarx
                 来自以色列，但凡来自这个国家的产品，让人又喜又恨，喜的是技术的确

             非常好，而且抓住一个点能做得很深很细，恨的是市场一般，找支持找服务比较
             难。Checkmarx 的 sast 做得非常强，可能是目前支持语言种类最多的产品，不像
             其他的主要支持 Java 或者 .Net.Checkmarx 有一套完整的 SDLC 工具集和 devops
             方案，包括代码库、编译系统、bug 追踪、IDE 和 QA 测试工具，通过周期循环

             和并行机制，其检测效率较高，而且配置简单，学习难度较小。其缺点在于只做
             SAST，DAST 是和 Rapid7 合作联盟，也没有 IAST 和 RASP，其余 WAF 集成联
             动只支持 ModSecurity，对象不是很多。在实战中，Checkmarx 的服务化做得较好，
             可以比较简单地实现多租户管理，应该可以通过二次开发实现与石化智云平台的

             集成，补充完善云安全服务目录。其增量检测的技术也有效地降低了工作负载和
             检测时长，适合企业级的应用安全管理。但是在功能上对于配置类的安全检测结
             果不如 Fortify 完整全面。
                 4.Synopsys

                 中文名字叫新思，是个专做测试的企业，在中美贸易战中，属于技术禁用
             的企业之一，在软硬件检测领域具有很强的实力，安全的检测市场进入时间不
             长，Synopsys 的 Coverity 是代码管理工具中 C/C++ 扫描功能最强、误报最少的
             软件。新思来自美国加利福尼亚的山景城，近年来在 AST 领域发力，陆续收购

             了多家 AST 公司，将自己的排名从第四象限直接拉升到第一象限，这些收购包
             括：Cigital、Codiscope、Codenomicon、Converity、Protecode 等，使其具备了
             IAST、SAST 和 SCA 的较完整的支撑能力。Sysnopsys 的强项之一在 IoT 领域，
             支持广泛的 IoT 相关协议，比如 XMPP、MQTT、CoAP、AMQP，除了检测之外，

             安全的 IDE 也是开发安全管理的一个重要环节，可以在代码输入阶段做语法检查。
             工作原理并不复杂，检测规则或者知识库是其核心能力，这个就要看公司实力和
             积累了。
                 Synopsys 的问题在于北美区域之外的市场影响力不足，还有大量收购后的

             各类产品如何整合都需要进一步观察，此外，不提供本地部署的 DAST 可能会
             在对一些安全控制敏感的组织选择时产生一定影响。从其他一些新上榜的企业或


             ·110·