Veracode 是什么？

Veracode 是一个全面的、云原生的应用程序安全平台。它旨在通过将安全测试无缝集成到开发生命周期（DevSecOps）中，帮助组织保护其软件。该平台提供多种分析技术，包括静态分析（SAST）、动态分析（DAST）、软件成分分析（SCA）和交互式应用程序安全测试（IAST），以识别和修复第一方代码、开源库和运行中应用程序中的漏洞。

主要特点

• 静态分析 (SAST): 扫描非运行代码，在开发过程的早期发现安全缺陷和漏洞。
• 动态分析 (DAST): 通过模拟外部攻击，测试正在运行的Web应用程序和API是否存在漏洞。
• 软件成分分析 (SCA): 识别代码库中的开源组件，标记已知漏洞，并帮助管理许可证风险。
• 统一平台: 将多种安全测试类型整合到一个平台中，具有集中的策略、报告和漏洞管理功能。
• 赋能开发者: 提供IDE集成、CI/CD流水线扫描和开发者培训，使开发者能够从一开始就编写安全的代码。
• 合规性报告: 生成详细报告，以帮助满足PCI DSS、GDPR和OWASP Top 10等法规和行业合规标准。

使用案例

• DevSecOps 集成: 在CI/CD流水线中自动化安全测试，以在不减慢开发速度的情况下发现和修复漏洞。
• 漏洞管理: 获得所有应用程序安全状况的集中视图，以有效优先处理和管理修复工作。
• 开源风险管理: 发现和管理项目中使用的第三方库中的漏洞和许可问题。
• 法规遵从: 确保应用程序满足各种行业和政府法规的安全要求。
• 保护Web应用和API: 通过识别生产或预生产环境中的漏洞，防范常见的基于Web的攻击。

入门指南

使用Veracode的一种常见方法是从命令行或CI/CD工具运行流水线扫描。这可以对较小的代码更改提供快速反馈。

首先，从Veracode平台下载Veracode Pipeline Scan JAR文件。然后，您可以使用如下命令运行扫描：

```bash

确保已安装Java

将您的Veracode API凭据设置为环境变量

export VERACODE_API_KEY_ID=”您的API_ID” export VERACODE_API_KEY_SECRET=”您的API_SECRET”

对您的应用程序文件（例如WAR、JAR或ZIP）运行扫描

java -jar pipeline-scan.jar –file 您的应用程序.war –project_name “我的Web应用”

此命令将应用程序文件上传到Veracode平台，执行静态扫描，并直接在您的终端中提供有关任何严重缺陷的即时反馈。

定价

Veracode 采用付费/订阅模式。定价根据应用程序数量、所需的扫描类型和开发团队的规模进行定制。潜在客户通常需要联系销售团队以获取个性化报价或演示。