第七章  化工设备安全检测技术


               照产品模式交付的，在云计算大行其道的当下，越来越多的厂商倾向于采用订阅
               服务的方式，其优势在于降低一次投入成本，促进成交，同时也加强用户黏性，
               实现长期合作的目的，也减少传统交易模式下的维保和软件更新的客户困扰。其

               缺点是不适用于国内用户的采购习惯和采购规程，因此在国内尤其是石化企业中
               推广困难。
                   （三）应用安全主流供应商特点分析
                   1.HCL Software

                   其实就是 IBM 的应用安全旗舰产品 Appscan，前几年售卖给 HCL，其
               DAST 是安全测评机构、安全团队和安全人员的必备工具，和 HP 的 fortify 同为
               元老级的应用安全检测工具。在 2020 年的魔力象限中可能是因为换了新东家，
               暂时失去领导者地位，今年重回领导者象限，但与业界领先者的差距还是较大。

               HCL 继承了 IBM 产品线全的特点，解决方案包括 SAST，DAST 和 IAST，也分
               别提供标准版和企业版，而且通过 Asoc 提供 SaaS 服务，此外通过 ICA 和 IFA
               技术，提高了检测速率和降低了误报率，但是 IBM 没有 SCA，其企业版通过和
               BD 集成完善此部分功能。IAST 的能力和其他竞争对手相比尚未得到认可。在石

               化行业，Appscan 的动态检测技术引入时间长，检测范围广，其完整性和权威性
               还是有保障的，但是 IBM 产品优势和劣势都在于产品过“重”，其功能的大而
               全在效率上就不是特突出，而且所谓的整体解决方案意味着技术之间的耦合性较
               强，要实现 IBM 描绘的完整功能蓝图可能需要采用从开发环境、集成系统和检

               测平台的整套方案。
                   2.MicroFocus
                   又是一个长着新面孔的老朋友，MicroFocus 收购了 HP 的安全检测产品
               线，将 Webinspect 和 Fortify 纳入麾下。在应用检测方面，HP 的基础比 IBM

               更深厚，产品全，品牌认知度更高，除了具备自己的 SCA 外，也能和 BD 集
               成，DevInspect 做得比较成熟、开发过程集成度较高。HP 将此业务转让给
               MicroFocus，从绝对的领头羊地位跌落，目前虽然还处于第一象限，但和HCL一样，
               相对落后了，用户普遍反映配置复杂、学习量大、易用性较差。在实测过程中，

               Fortify 还是偏重于客户端部署，与云端服务的发展趋势不是很一致，当然客户端
               部署有其优越性，其检测功能也依然强大，但从石化信息化发展“一切应用上云”
               的要求来看，显得有些跟不上节奏。



                                                                                      187