《Gartner 应用安全测试（AST）魔力象限报告》是业内公认的权威报告，报告中会对安全供应商进行评估，并通过魔力象限的方式展示，是我们评估安全工具的重要参考维度。我们在构建软件测试体系或申请软件测试cnas/cma资质时，对安全测试工具的选型和了解是必不可少的一部分，本文我们就借助2023年《Gartner 应用安全测试（AST）魔力象限报告》，了解一下获评领导地位的几款工具。

《Gartner 应用安全测试（AST）魔力象限报告》中最右上角的部分为领导象限，上榜的有Synopsys、Veracode、Checkmarx、OpenText、snyk，分别对应的安全测试工具是Coverity、Veracode、Checkmarx、Fortify和snyk，前4款是目前国内比较主流的。

从市场占有份额来看，Checkmarx和 Fortify目前在电力和金融行业应用较为广泛，是中国市场Java应用最多的工具之一。Coverity在互联网领域应用较为广泛。Veracode则主要在军工领域应用较为广泛。

Coverity技术源自于斯坦福大学，能够快速检测并定位源代码中可能导致产品崩溃、未知行为、安全缺口或者灾难性故障的软件缺陷。作为领导象限的领头羊，这些年一直基于较为领先的地位。它是通过本地的cli进行扫描，扫描结果传输到平台上进行展示，规则方面可以根据扫描目标的不通过进行选择不同的启动参数，对于编译型语言来说，需要业务将编译命令输入到coverity中。

Checkmarx是以色列的一家高科技软件公司，CheckmarxCxSuite应用安全测试中少数的非欧美国家的产品。该工具可用于识别、跟踪和修复源代码中技术上和逻辑上的缺陷，比如软件安全漏洞、质量缺陷问题和业务逻辑问题等。可以上传代码，可以通过cli命令开启扫描，扫描是在平台上进行的，规则方面相当于coverity来说更加细化，可以选择只扫描高危级别漏洞或者扫描owasp top 10的漏洞，并且对于编译型语言来说，不需要额外的编译命令，直接将代码上传接口扫描。

Fortify是OpenText 旗下的应用程序安全测试产品，早在2016年就进入了中国市场，是最早进入中国市场的商用静态检查工具。可供开发团队和安全专家分析源代码，检测安全漏洞，帮助开发人员更快更轻松地识别问题并排定问题优先级，提供解决建议。Fortify误报率/漏报率低，检出漏洞类型更加丰富。支持SQL注入、XSS、命令注入、代码注入、反序列化等漏洞类型。

Veracode 成立于2006年，可帮助改善企业内部开发、购买或外包的应用程序软件及第三方组件的安全。Veracode的特点是通过二进制分析安全缺陷。在2009年进入Gartner的静态安全检测魔力四象限，从2010起就一直在领导者象限打拼，但始终居于Fortify，Coverity之后。

如需以上工具更详细的比对参数，可私信我获取。