源码扫描细分领域对标项目

源码审计

应用安全分析按照使用场景分为四类方向：

静态 AST（SAST）技术通常在编程和/或测试软件生命周期（SLC）阶段分析应用程序的源代码，字节代码或二进制代码以查找安全漏洞。
动态 AST（DAST）技术在测试或运行阶段分析应用程序的动态运行状态。它模拟针对应用程序（通常是支持 Web 的应用程序和服务）的攻击，分析应用程序的反应，从而确定它是否易受攻击。
交互式 AST（IAST）技术同时结合了 SAST 和 DAST 的元素。它通常作为测试运行时环境中的代理实现（例如，测试 Java 虚拟机[JVM]或.NET CLR），用于观察操作或攻击并识别漏洞。（可以发现 iast 类似于 rasp，可以同扫描器结合起来将安全检测融入产品，通过类似于打桩的机制判断漏洞真实性。）
Mobile AST 对字节或二进制代码执行 SAST，DAST，IAST 和/或行为分析，以识别移动应用程序中的漏洞。

根据我司目前的情况 coverity 工具只是做静态代码扫描，而对标的成熟公司、产品在各个阶段均有完整的参与。业界在规划、设计、实现、验证、发布、回归阶段中关注源码扫描参与的点有：

静态应用安全分析-找到并修复代码中的软件漏洞与质量缺陷；
软件组件分析：查找开源代码组件或者第三方组件是否包含安全漏洞与法律问题；
如何在自动集成阶段建立安全质量 gate？保证发布前的应用安全

公司实践：

google

使用 gerrit 这样的代码 review 系统基本保障质量，Error Prone 用在 Google 的 Java 构建系统中，发现并减少各种严重 Bug。

阿里

消息显示阿里内部 SDL 推行较早，但很难做到位，虽然他们一直在做推进安全编码，也有自研源码扫描器。主要是项目周期短，发布快，项目又多，安全人员少，只能尽量走自动化路线，但是像漏洞和代码分析，架构设计安全审计这些，自动化目前还无法办到。

细分领域产品厂商：

gartner 关于应用安全测试方面的魔力象限：

coverity

Synopsys 即 coverity 厂商，在软件和半导体领域提供多种产品。去年 Synopsys 完成对 Black Duck 的收购（关于开源产品的安全检测）。公司对应用安全产品的整合有--Cigital，Quotium 的 Seeker IAST 和 Condenomicon，Protecode 和 Coverity，为 Synopsys 提供 IAST，SAST 和 SCA 功能。

领先优势：

Seeker 仍然是最广泛采用的 IAST 解决方案之一，提供广泛的语言覆盖和良好的 SDLC 集成。 Synopsys 为 Seeker 引入了仅限代理的 IAST，不需要导入器。支持了一些 IAST 提供的被动测试模式。
SecureAssist 非常适合 DevOps 模式，因为它提供了与 IDE 的强大集成，可以在开发阶段早期提供 SAST 拼写检查器。 Synopsys 利用 Coverity 引擎在 SecureAssist 中引入了对 JavaScript 分析的支持。
Synopsys 提供了一整套适用于各种用例的 AST 产品，包括通过 Defensics 提供的各种模糊功能（输入模糊，协议等）。
Synopsys 在 IoT AST 领域处于优势地位，它支持各种协议，如 XMPP，MQTT，CoAP 和 AMQP（通过 Defensics）。

fortify：

Micro Focus 是 Fortify 品牌下 AST 产品和服务的全球供应商。产品在北美以及欧洲和亚太地区市场拥有强大的影响力。Fortify 提供静态代码分析器（SAST），WebInspect（DAST 和 IAST），软件安全中心（其控制台）和 Application Defender（监控和 RASP）。 Fortify 通过 Fortify on Demand（FoD）将其 AST 作为产品以及云中的产品提供。Mobile AST 通过 FoD 提供。 Fortify 的 SAST 可以通过 Eclipse IDE 中的拼写检查器（称为安全助理）利用实时在线漏洞检测功能。

在过去的一年中，Micro Focus Fortify 为 WebInspect 引入了增量扫描功能，以便仅对 Web 应用程序的更改内容进行持续测试。多线程功能被引入到 SAST 产品中以帮助提高扫描时间。另外，通过机器学习辅助审计对漏洞验证的改进降低了 SAST 周转时间。Micro Focus Fortify 的 AST 产品应该被寻求全面的 AST 功能的企业所考虑，无论是作为产品还是服务，或者两者兼而有之，都具备企业级报告和集成功能。

领先优势：

Fortify 是全球知名品牌。在广泛的 AST 使用案例的客户名单中，特别是在需要多种测试技术的情况下。它以提供创新产品和服务而闻名。
Fortify 拥有最完整的 SDLC 集成之一例如，为流行的 IDE 和 CI / CD 工具提供开箱即用的集成。（使用效果较好，称为 workbench）
Fortify 的 SAST 具有最广泛的语言支持，并提供一系列部署选项，使其非常适合复杂的测试用例。其 WebInspect DAST 工具客户免费提供其 WebInspect IAST for Java 和.NET 代理。
Fortify 继续开发创新的自动化和基于机器学习的功能，以支持 DevOps，例如使用安全助手在 Eclipse IDE 中进行实时分析。内部部署和 Fortify on Demand 客户可以利用基于机器学习的审计助理来删除 SAST 调查结果，SmartFix 功能将提供最佳修复位置。
Fortify 具有全面的企业功能以及与主要 SCA 供应商的集成。所有 FoD SAST 客户均可享受 Sonatype 评估，无需额外付费。

IBM

IBM 提供 SAST 和 DAST 桌面工具，包括 IBM Security AppScan Source，IBM Security AppScan Standard 和企业平台（AppScan Enterprise）。这包括一个集中管理控制台，使用户能够从第三方工具导入调查结果。 IBM 针对 SAST 和 DAST 的云服务（IBM Security Application on Cloud）。 IAST 通过 AppScan（AppScan 标准版，企业版和云版）中的 Glassbox 代理提供，免费提供给 DAST 客户，移动 AST（MAST; IBM 移动分析器）和 SCA 产品（IBM 安全开放源代码分析器[OSA]）。对于 SCA，他们从 WhiteSource 许可漏洞和修复数据库。 IBM 还与 Prevoty 合作开发 RASP。IBM 改进了智能代码分析（ICA），并将智能调查分析（IFA）扩展到了本地客户，无需额外费用。两者都提高了 SAST 扫描结果的速度和准确性。 ICA 在语言和框架中检测 API，并确定这些 API 的安全影响，以减少漏报。 IBM IFA 使用机器学习来显着减少整体漏洞数量和误报数量，并将结果关联起来，并提出用于修复漏洞的最少数量的代码更改。IBM 拥有相当可观的客户群，将 SAST，DAST 和 IAST 整合到一套产品和服务中。

领先优势

IBM 一直在扩展功能，并着眼于 DevSecOps 的需求。这包括扩展的语言支持，将 DAST 界面分为开发者模式和安全专家模式，并且运行更快，更轻的扫描以缩短周转时间。
IBM 是一个完整的 AST 解决方案（SAST，DAST 和 IAST）和其他安全产品/服务的大型稳定提供商，具有多地区存在和交付能力。
IBM 的应用程序安全管理提供以风险为中心的统一报告和仪表板功能以及 IBM 安全框架和风险评估，这是管理业务影响应用程序中的安全风险的基础框架。
IBM 是少数几家允许导入第三方 AST 结果报告仪表板的供应商之一，例如手动代码审查，渗透测试，漏洞评估和竞争对手 AST 解决方案。

对标公司结果：

选择 fortify 产品线作为对标公司。理由：