面向现代 CI/CD 流水线的企业代码安全平台深度分析

执行摘要及战略展望

引言：现代应用安全的迫切需求

在当今的数字经济中，软件开发速度是竞争优势的主要驱动力。然而，这种加速也带来了相应的安全风险，使得应用安全从后台合规职能上升为董事会层面的战略要务。企业正日益采用“左移”安全模型，将安全控制直接嵌入开发人员的工作流程中，以便在软件开发生命周期 (SDLC) 的早期阶段识别和修复漏洞。这种范式转变需要一种新型的应用安全测试 (AST) 解决方案——这些工具不仅功能强大、全面，而且以开发人员为中心，实现自动化，并能无缝集成到持续集成/持续交付 (CI/CD) 管道中。

本报告对六家领先的代码安全提供商进行了全面的尽职调查分析：Snyk、SonarQube、Checkmarx、Veracode、GitHub Advanced Security 和 Fortify。评估以一家在以 GitHub.com 为中心的开发生态系统中运用现代技术栈（具体而言是 Node.js、TypeScript、Java、Rust 和 Go）的企业为视角。报告特别关注各平台对在亚洲市场（尤其是新加坡）拥有重要运营规模的企业的战略契合度，因为数据驻留和区域支持在新加坡至关重要。报告旨在超越表面的功能比较，对每家供应商与高速发展、安全意识强的企业需求的战略契合度进行细致入微的评估。

主要发现概览**

应用安全市场的特点是供应商理念和架构存在明显差异，导致解决同一根本问题的方法各不相同。分析表明，受评估的供应商可归为以下三种主要类型：

• 开发者优先平台（Snyk、GitHub Advanced Security）： 这些平台从底层架构开始就旨在与原生开发者环境（IDE、SCM）集成。它们优先考虑速度、可操作的反馈以及最大程度地减少开发者的摩擦。它们的目标是使安全成为编码过程中直观且不干扰的一部分。

• 以安全为中心的企业平台（Checkmarx、Veracode、Fortify）： 这些供应商长期以来一直为集中式安全团队提供全面、合规的扫描解决方案。它们的平台提供深度分析、丰富的报告和强大的策略管理功能。虽然它们已投入大量资源通过添加面向开发者的功能来适应 DevSecOps，但其核心架构和理念仍然根植于企业治理和风险管理。

• 代码质量与安全混合型解决方案（SonarQube）： SonarQube 起源于静态代码质量和可维护性分析领域，现已发展成为包含强大安全功能的平台。它在代码质量至关重要的环境中表现出色，尤其适用于 Java 等语言。其最先进的安全功能，例如软件成分分析 (SCA)，都包含在其高级商业产品中。

市场也正在经历一场显著的整合，从分散的静态应用安全测试 (SAST)、软件成分分析 (SCA) 和其他测试类型的独立解决方案，转向提供应用风险整体视图的统一平台。¹ 这种“平台化”的驱动力在于，不仅要保护专有代码，还要保护整个软件供应链，包括开源依赖项、容器镜像和基础设施即代码 (IaC) 配置。³

战略供应商适用性矩阵

为了快速概览各供应商与本次分析核心要求的契合度，以下矩阵从五个关键战略维度对其表现进行评级。这些评级是对本报告中详细分析结果的综合总结。

战略维度：Snyk、Sonar、Qube、Checkmarx、Veracode、GitHub 高级安全、Fortify GitHub.com 集成质量：领先、强、胜任、胜任、领先、胜任 现代语言支持：领先、强、强、落后、强、胜任 新加坡/亚洲市场布局：领先、强、强、胜任、胜任 开发者体验：领先、强、胜任、胜任、领先、落后 企业治理：强、强、领先、领先、强、领先

核心推荐概述

选择最佳的AST平台并非一成不变的决策，而是一项战略选择，必须与组织的文化、优先事项和风险承受能力相契合。本报告的研究结果表明，理想的供应商取决于应用安全计划的主要战略驱动因素。

• 对于优先考虑流畅、原生开发者体验以最大限度提高采用率和开发速度的组织而言，GitHub Advanced Security 凭借其与开发者已在使用的平台无缝集成，成为最具吸引力的选择。

• 对于那些寻求一流的、以开发者为中心的工具集，并拥有市场领先的安全控制分析 (SCA) 功能以及对亚太地区的坚定承诺的用户而言，Snyk 是一个领先的竞争者。

• 对于那些将深度、合规驱动的安全分析和集中式治理视为重中之重的企业而言，Checkmarx 和 Veracode 提供了成熟且功能丰富的平台。

• 对于那些拥有以**代码质量（尤其是在 Java 密集型环境中）**为核心的强大工程文化的组织而言，SonarQube 提供了强大的质量和安全分析组合。

最终决策应以概念验证为基础，该验证需针对组织的具体代码库和开发人员工作流程来验证这些发现。

企业代码安全格局：2025 年概览

市场演变：从独立工具到统一平台

过去五年，应用安全测试市场经历了根本性的变革。传统的安全应用安全测试 (SAST)、动态应用安全测试 (DAST) 和软件变更分析 (SCA) 等工具各自独立、互不兼容，这种模式已无法满足现代软件开发的快节奏和复杂性。这种模式造成了诸多摩擦，迫使安全团队和开发团队管理不同的工具集、手动关联测试结果，并应对不一致的报告。

为此，业界已果断转向集成式应用安全测试 (AST) 平台。领先的供应商现在提供统一的解决方案，将多种扫描技术整合到一个统一的产品中。² 根据 Gartner 的行业分析，AST 的范围已显著扩大，不仅涵盖核心测试领域，还包括 API 安全测试、基础设施即代码 (IaC) 验证、容器扫描和应用安全态势管理 (ASPM) 等新兴需求。¹ ASPM 发挥着连接作用，汇总来自整个软件开发生命周期 (SDLC) 的测试结果，从而提供应用程序安全态势的单一、全面视图。Checkmarx（Checkmarx One）、Snyk（Snyk AI Trust Platform）和 Veracode（Continuous Software Security Platform）的平台正是这一趋势的典型例证，它们各自提供一套服务，涵盖专有代码、开源依赖项、容器和 IaC 模板。²

应用安全（AppSec）的这种“平台化”既为企业采购带来了机遇，也带来了挑战。一方面，它有望减少工具的臃肿，简化工作流程，并降低总体拥有成本。另一方面，它也增加了供应商锁定风险，并需要更严格的评估流程。企业不再仅仅是购买一个软件安全测试工具（SAST），而是投资于一个能够支撑其整个安全开发生命周期的战略平台。这就要求对平台中的每个组件进行严格评估，因为拥有市场领先的SAST引擎的供应商可能提供的软件兼容性分析（SCA）或基础设施即代码（IaC）扫描功能不够成熟。评估人员的核心问题已经从“哪个SAST工具最好？”转变为“哪个平台能够为我们的整个软件生态系统提供最有效、最高效的风险降低？”

软件供应链安全的重要性日益凸显

随着统一平台的普及，软件供应链安全的重要性也显著提升。现代应用程序不再是编写而成，而是组装而成，开源组件通常占最终代码库的 80% 到 90%。⁵ 虽然这加快了开发速度，但也带来了巨大的风险，因为单个开源软件包中的漏洞可能会对成千上万个应用程序产生连锁反应。

鉴于此，软件成分分析已成为任何现代抽象技术安全测试 (AST) 程序中不可或缺的组成部分。然而，威胁远不止于依赖项中已知的漏洞（CVE）。软件供应链本身已成为攻击者的主要目标。Checkmarx 最近的一项全球研究发现，在过去两年中，63% 的受访大型企业都曾遭受过软件供应链攻击。⁶ 这些攻击形式多样，包括将恶意代码注入开源软件包、破坏构建工具，或者像最近一起备受瞩目的事件中那样，利用安全工具本身的漏洞。

2025年9月，SonarQube Scanner GitHub Action（一款广受信任的CI/CD代码分析工具）中发现了一个高危命令注入漏洞（CVE-2025-58178）。⁷ 该漏洞允许在构建环境中执行任意代码，实际上赋予了攻击者“王国钥匙”——访问源代码、密钥和部署管道的权限。这一事件有力地提醒我们，CI/CD管道中的每个工具，包括安全扫描器，都是供应链的一部分，必须进行严格的安全防护。它凸显了AST平台不仅需要扫描漏洞，而且必须以安全的方式构建和交付。

人工智能对代码安全的影响

人工智能是重塑应用安全格局的最新颠覆性力量。多年来，应用安全计划成功实施的主要障碍在于误报率高，这会削弱开发者的信任，以及修复漏洞需要耗费大量人工。人工智能有望正面解决这两个挑战。

供应商正在迅速集成人工智能驱动的功能，旨在增强检测和修复能力。例如，SonarQube 提供 AI CodeFix，可自动生成改进代码质量和安全性的建议；以及 AI Code Assurance，可检查由生成式人工智能助手创建的代码，以确保其符合企业标准。⁸ 同样，GitHub Advanced Security 在其 Copilot Autofix 功能中利用人工智能，为代码扫描警报提供自动生成的修复方案。⁹ Checkmarx 推出了 AI Query Builder，用于创建自定义扫描规则，以及 AI Security Champion，用于提供上下文感知的修复指导。¹⁰

潜在收益巨大。IBM 的一份报告发现，在安全运营中广泛使用人工智能的组织，其安全漏洞生命周期缩短了约 80 天，每次事件节省了近 190 万美元。⁷ 然而，人工智能的集成并非没有风险。能够提升开发人员效率的生成式人工智能工具，也可能引入隐蔽而复杂的安全漏洞。这给安全平台带来了新的挑战，它们现在必须能够有效地扫描人工智能生成的代码。SonarQube 的 AI 代码保障等功能的出现凸显了这一新现实：企业现在使用人工智能驱动的安全工具来验证人工智能驱动的开发工具的输出。这就要求在采购过程中进行更高层次的审查。企业必须评估供应商人工智能能力的透明度、准确性和可解释性，以避免盲目信任人工智能生成的修复程序，因为这些程序可能会引入新的、不可预见的风险。

深度分析：核心平台功能

对应用安全测试平台进行全面评估需要对其核心测试功能进行细致分析。尽管市场正朝着统一平台发展，但每个扫描引擎的有效性仍然是关键的差异化因素。本节将从现代应用安全的核心支柱方面对六家供应商进行比较。

静态应用程序安全测试 (SAST)

SAST 是一种基础技术，用于在不执行程序的情况下分析应用程序的源代码、字节码或二进制代码是否存在安全漏洞。

• Snyk Code： 其独特之处在于专注于速度和开发者体验。它提供集成开发环境 (IDE) 内的实时扫描，并利用人工智能引擎进行深度语义分析。⁵ 其关键特性是数据流分析，该分析能够以可视化的方式追踪受污染数据从源头（例如用户输入）到目标（例如数据库查询）的路径，从而帮助开发者更轻松地理解漏洞的根本原因。¹²

• SonarQube： 基于代码质量，其 SAST 引擎功能强大，采用超过 6,500 条规则来检测错误、代码异味和安全漏洞。⁸ 它为 Java、C# 和 JavaScript/TypeScript 等关键企业语言提供业界领先的污点分析，这是一种复杂的数据流分析形式，可以追踪不受信任的用户输入。⁸

• Checkmarx： 作为 SAST 市场的长期领导者，以其深入而精准的分析而闻名。其引擎可以扫描未编译的代码，显著加快扫描速度，并且支持增量扫描，仅分析新增或修改的代码，从而在 CI/CD 流水线中提供更快的反馈。² 它支持超过 35 种语言和 80 个框架。¹⁰

• Veracode： Veracode 的一个关键优势在于其声称误报率低于 1.1%，这是维护开发者信任和减少故障分类开销的关键指标。⁴ 其平台主要分析二进制代码，这意味着即使无法访问源代码，它也可以扫描应用程序，这对于评估第三方组件或遗留应用程序非常有用。¹³

• GitHub 高级安全 (CodeQL)： 该平台的核心 SAST 引擎 CodeQL 代表了一种独特的静态分析方法。它将代码视为数据，从代码库构建关系数据库，然后执行查询（使用专门的 CodeQL 查询语言编写）来查找漏洞模式。¹⁴ 这种语义方法能够检测复杂的、基于变体的漏洞，并实现极高的准确率和极低的误报率。⁹

• Fortify 静态代码分析器 (SCA)： 作为 SAST 市场的先驱之一，Fortify 提供成熟且强大的解决方案，支持多种语言，并提供灵活的部署选项，包括本地部署、托管和完整的 SaaS 模式（Fortify on Demand）。¹⁶ 近期，Fortify 通过其 OpenText Application Security Aviator 服务集成了 AI 驱动的审计和修复建议。¹⁸

软件成分分析 (SCA)

SCA 工具旨在识别和管理与开源组件相关的风险，包括已知漏洞、许可证合规性问题和整体软件包健康状况。

• Snyk 开源版： 这可以说是 Snyk 的旗舰产品，也是市场领导者。它基于业界领先的漏洞数据库提供全面的漏洞检测、详细的许可证合规性管理以及可操作的修复建议，通常以自动化的“修复 PR”的形式呈现，开发人员可以合并这些 PR 来升级易受攻击的软件包。³

• SonarQube： SCA 功能已集成到其商业版的高级“高级安全”产品中。此功能允许组织跟踪和缓解第三方依赖项中的 CVE，管理开源许可证策略，并生成软件物料清单 (SBOM)。⁸

• Checkmarx SCA (CxSCA)： CxSCA 完全集成到 Checkmarx One 平台中，使用户能够识别开源漏洞并确定其优先级，清点所有第三方组件及其传递依赖项，并评估与开源许可证相关的风险。²

• Veracode SCA： 扫描应用程序以识别第三方和开源库中的安全风险。其显著特点是能够提供持续监控，在初始扫描完成后，一旦组件中发现新的漏洞，便会向开发团队发出警报。⁴

• GitHub 高级安全 (Dependabot)： 作为 GitHub 平台的原生组件，Dependabot 与开发者的工作流程深度集成。它提供自动化的依赖项扫描，针对易受攻击的软件包生成 Dependabot 警报，并可自动创建拉取请求以升级到安全版本。依赖项审查功能可对拉取请求中的任何依赖项更改进行安全影响分析。⁹

• Fortify： Fortify on Demand 通过与第三方扫描引擎（具体为 Sonatype 或 Debricked，取决于客户的配置）集成，从而实现了安全影响分析 (SCA)。此功能与其静态扫描捆绑在一起，将依赖项数据添加到整体分析有效负载中。²⁰

基础设施即代码 (IaC) 与容器安全

随着基础设施越来越由代码（例如 Terraform、Kubernetes 清单）定义，应用程序也部署在容器中，扫描这些工件是否存在配置错误和漏洞变得至关重要。

• Snyk IaC & Container： 提供专门的功能，用于扫描 IaC 配置中的安全错误配置，以及扫描容器镜像中基础镜像层和应用层中的已知漏洞。³

• SonarQube： 支持对 IaC 和容器化技术进行分析，包括 Docker、Kubernetes、AWS CloudFormation 和 Terraform，使团队能够将代码质量和安全标准应用于其基础设施定义。²¹

• Checkmarx： Checkmarx One 平台包含 IaC 安全功能，可在部署前扫描模板中的不安全配置，以及一个容器安全模块，用于扫描容器镜像。²

• Veracode： 提供的文档并未明确详细说明其原生 IaC 或容器安全功能，这表明这可能是其产品的一个缺陷，或者该功能依赖于合作伙伴集成。

• GitHub Advanced Security： 虽然 GHAS 本身不包含 IaC 或容器扫描器，但它可以通过 GitHub Actions 进行扩展，从而实现与第三方扫描器的无缝集成。这些扫描器的结果可以被导入并显示在 GitHub 原生安全选项卡中，从而提供所有发现结果的统一视图。¹⁴

• Fortify： 作为其统一平台的一部分，提供 IaC 和容器安全扫描，支持 Docker 和 Kubernetes 等技术。此功能由与其 SAST 产品相同的核心引擎驱动，确保分析方法的一致性。¹⁸

秘密检测

密钥检测包括扫描代码、配置文件和提交历史记录，查找硬编码的凭据，例如 API 密钥、密码和令牌。

• **SonarQube：**提供专门的密钥检测功能，可以识别密码和 API 密钥等敏感信息。至关重要的是，此功能可扩展到 IDE，使其能够在密钥提交到代码仓库之前将其捕获。⁸

• **Checkmarx：**将密钥检测作为集成模块包含在 Checkmarx One 平台中，提供另一层风险识别。¹⁰

• **GitHub 高级安全（密钥保护）：**这是一项核心产品，也是一项重要的差异化优势。它结合了两项强大的功能：密钥扫描，可检测来自主要服务提供商的 100 多种模式；以及推送保护，可主动阻止包含密钥的提交推送到代码仓库。这种预防性控制比被动检测有效得多。⁹

• **Fortify：**该平台的 SAST 引擎能够检测嵌入源代码中的 200 多种不同类型的密钥。¹⁸

• **Snyk 和 Veracode：**虽然 Snyk 和 Veracode 的文档中没有明确指出这些平台是否具有专门的、独立的密钥检测功能，但这项功能通常包含在它们的 SAST 产品中。

核心功能矩阵

下表对各平台提供的核心功能进行了比较总结，并注明了某项功能是原生功能、附加功能还是通过合作伙伴关系提供的功能。

功能 Snyk SonarQube Checkmarx Veracode GitHub 高级安全 Fortify SAST 原生 原生 原生 原生 原生 原生 (CodeQL) 原生 SCA 原生 附加组件（商业版） 原生 原生 原生 (Dependabot) 合作伙伴 (Sonatype/Debricked) IaC 扫描 原生 原生 原生 未指定 通过操作 原生 容器扫描 原生 原生 原生 未指定 通过操作 原生 密钥检测 捆绑在 SAST 中 原生 原生 未指定 原生（带推送保护） 原生 API 安全 原生 未指定 原生 原生 (DAST) 通过操作 原生 (DAST) DAST 原生 未指定 原生 原生 通过操作 原生 SBOM 生成 原生 附加组件（商业版） 原生 原生 原生 合作伙伴 AI 辅助修复 原生 (代理修复) 原生 (AI 代码修复) 原生（AI Champion）原生（Veracode 修复）原生（Copilot Autofix）原生（Aviator）

特定语言的有效性：Node.js、TypeScript、Java、Rust 和 Go

供应商声称的“语言支持”可能具有误导性。真正的有效性取决于分析的深度、安全规则的质量以及对特定语言的惯用语和框架的理解。本节将评估对用户技术战略至关重要的五种语言的支持质量。

整体语言覆盖范围

所有受评供应商都对各种流行的编程语言提供广泛的支持，反映了现代企业开发的多语言特性。

• Snyk 支持包括 JavaScript、TypeScript、Java、Go、Rust、C/C++、Python 和 .NET 在内的多种语言。²²

• SonarQube 的商业产品支持超过 30 种语言，包括 Java、C#、C/C++、JavaScript、TypeScript、Python、Go 和 Swift。²³

• Checkmarx 支持超过 35 种语言和 80 个框架，涵盖从 Go 和 Dart 到 COBOL 和 Apex 等现代和传统语言。¹⁰

• Veracode 支持桌面、Web 和移动端广泛使用的语言，包括 Java、.NET、JavaScript 以及 Swift 和 Kotlin 等移动语言，以及 COBOL 和 VB6 等传统语言。¹³

• GitHub Advanced Security 通过其 CodeQL 引擎支持 C/C++、C#、Go、Java/Kotlin、JavaScript/TypeScript、Python、Ruby 和 Swift。²⁵

• Fortify 支持超过 33 种语言和 350 多个框架。框架包括 Java、TypeScript、JavaScript、Go、Python 和 C/C++。18

Node.js 和 TypeScript 支持分析

JavaScript/TypeScript生态系统是现代Web开发的基础。有效的安全扫描需要深入了解其包管理器、框架和异步特性。

• Snyk 在这方面展现出了非凡的实力。其 SCA 工具为 npm、pnpm 和 Yarn 上的各种 lockfile 版本提供精细化支持，包括复杂的 monorepo 和 workspace 配置。²⁷ 其 TypeScript SAST 引擎 Snyk Code 可执行全面的语义分析，超越简单的语法检查，深入理解代码逻辑和数据流，从而实现更准确的漏洞检测。⁵

• SonarQube 为 JavaScript 和 TypeScript 提供强大的支持，包括其高级 SAST 污点分析，可跟踪从用户控制的源到敏感接收器的数据流。⁸

• GitHub Advanced Security 通过 CodeQL 为 JavaScript 和 TypeScript 提供高质量的分析。²⁵ 该平台持续更新，以改进对常用库（例如 graphql 库）的建模，确保准确跟踪流经这些框架的数据流。²⁸

• Checkmarx 和 Fortify 都将 JavaScript 和 TypeScript 列为完全支持的语言，利用其强大的 SAST 引擎检测各种漏洞，包括 OWASP Top 10 中的漏洞。²⁴

• Veracode 支持 Node.js 和流行的前端框架，例如 AngularJS 和 jQuery，为成熟的 JavaScript 应用程序提供全面的支持。¹³

Java 支持分析

Java 仍然是企业应用开发的基石。鉴于其成熟度，领先的安全工具能够提供深入而复杂的分析功能。

• SonarQube 本身就是用 Java 编写的，因此对 Java 语言提供了极其强大的支持。它的分析与 Java 生态系统深度集成，其高级 SAST 和污点分析功能尤其擅长发现 Java 应用程序中的复杂漏洞。⁸ 这是该平台的核心竞争力。

• Checkmarx 也展现了其在 Java 安全领域的深厚专业知识。它的规则集经过专门设计，可以发现 Spring Boot 等框架中常见的后端漏洞，并针对 SQL 注入、不安全反序列化和路径遍历等问题提供了具体示例。²⁹

• Fortify 在为 Java 提供强大的 SAST 方面拥有悠久的历史。其丰富的安全规则包会定期更新，以涵盖新的漏洞模式，并确保符合 PCI-DSS 和 HIPAA 等标准。¹⁷

• GitHub Advanced Security 使用 CodeQL 对 Java 和 Kotlin 代码进行深度语义分析。其教程演示了追踪数据流路径的能力，展示了如何精确定位漏洞的源到目标路径。³⁰

• Snyk 和 Veracode 都为 Java 生态系统提供全面的支持，包括 Java SE、EE 和 JSP，使企业能够保护其所有 Java 应用程序。¹³

Rust 和 Go 支持分析

Rust 和 Go 是现代编译型语言，凭借其高性能、并发性和内存安全特性（Rust 尤其如此），在企业环境中获得了广泛应用。对这些语言的支持是衡量供应商对现代开发趋势承诺的重要指标。

• GitHub 高级安全 为 Go 和 Rust 这两种编译型语言提供了强大的一流支持。²⁵ GitHub 正在积极投入资源来增强这种支持，例如，最近发布的 CodeQL 版本新增了专门针对 Rust 的安全查询（例如，检测非 HTTPS URL），并改进了对 Go 的分析。²⁸

• Checkmarx 为这两种语言提供了强大的支持。它针对如何保护 Go 应用程序提供了具体的指导³²，并对 Rust 提供了细致入微的分析，既认可了该语言内置的内存安全特性，又正确地指出 SAST 和 SCA 扫描对于解决逻辑漏洞和供应链风险仍然至关重要。³³ 这表明 Checkmarx 对该语言的安全模型有着深刻的理解。

• Snyk 和 SonarQube 在其商业产品中均将 Rust 和 Go 列为支持的语言，允许将其 SAST 和 SCA 引擎应用于用这些语言编写的项目。²²

Fortify 官方支持 Go。²⁶ 然而，其主要语言文档中并未明确提及对 Rust 的支持，这可能是一个潜在的缺陷。

Veracode 在这方面似乎存在最显著的缺陷。其提供的支持语言文档中既没有列出 Rust 也没有列出 Go，这对于一个以这些语言为标准的组织来说将是一个严重的不足。¹³

对 Rust 和 Go 等现代语言的支持质量至关重要。仅仅在功能列表中打个勾是不够的。像 GitHub 和 Checkmarx 这样的供应商，对这些语言的独特特性有着更深入、更细致的理解，并积极投资于定制的安全规则，对于基于这些现代平台构建应用的企业而言，它们是更具战略性和面向未来的选择。对于长期投资 Rust 或 Go 的组织而言，与那些与这些生态系统共同发展的供应商合作，无疑是一项巨大的优势。

CI/CD 集成和开发者工作流程实现

在DevSecOps环境中，AST平台的有效性与其说是取决于其发现的漏洞数量，不如说是取决于其能否在不增加开发人员现有工作流程阻力的情况下，为其提供可操作的结果。对于以GitHub.com为标准化平台的组织而言，这种集成的质量是成功采用该平台的最关键因素。

GitHub 集成架构

工具与 GitHub 集成的方式体现了其背后的理念，并直接影响其易用性和维护性。

• GitHub 高级安全： 作为一款原生产品，其集成无缝且浑然一体。代码扫描、密钥扫描和依赖项审查均可通过仓库内的 GitHub Actions 工作流文件直接配置。³⁰ 无需安装任何外部应用程序，无需管理令牌（除了标准的 GITHUB_TOKEN），也无需登录任何单独的平台。这代表了无缝、零开销集成的黄金标准。

• Snyk： 通过原生 GitHub 云应用提供现代化且强大的集成。³⁴ 这相比依赖个人访问令牌 (PAT) 的旧方法有了显著改进，因为它提供了更细粒度、基于角色的访问控制，并受益于更高的 API 速率限制。该集成通过官方的 Snyk GitHub Actions 进行管理，这些 Actions 文档齐全且易于实现。³⁵

• SonarQube： 集成通过官方的 GitHub Actions 实现，该 Actions 与 SonarQube 服务器或 SonarQube 云实例通信。³⁶ 这需要为 SONAR_TOKEN 和 SONAR_HOST_URL 配置 GitHub 密钥。虽然有效，但这种架构引入了对外部服务的依赖，该服务必须得到维护，并且必须能够从 GitHub 的运行器访问。

• Checkmarx： 依赖于基于 Webhook 的集成。这涉及创建一个 GitHub OAuth 应用来生成客户端 ID 和客户端密钥，然后使用它们来授权连接。³⁷ Checkmarx 平台监听推送和拉取请求事件以自动触发扫描。这种设置比 Snyk 或 GitHub 的基于应用程序的模型更为复杂。³⁸

• **Veracode：**采用混合方法，需要安装 GitHub 应用程序并导入模板工作流。³⁹初始设置需要联系 Veracode 技术支持以启用帐户集成，并为 Veracode API 凭据配置组织级密钥。与其他解决方案相比，这种多步骤流程会增加初始使用难度。

• **Fortify：**通过官方的 fortify/github-action 进行集成。²⁰此操作需要将大量环境变量配置为密钥，才能连接到 Fortify on Demand 后端，包括 URL 和客户端凭据。²⁰

拉取请求反馈和装饰

拉取请求（PR）是代码审查和质量控制的核心平台。安全工具能否直接在 PR 中提供清晰、上下文相关且可操作的反馈，对于开发者采纳至关重要。

• GitHub 高级安全： GitHub 在这方面表现出色，提供真正原生的体验。代码扫描警报会以注释的形式直接显示在“文件已更改”选项卡中包含漏洞的代码行上。⁴⁰ “检查”选项卡中提供了发现结果的摘要。这种即时、上下文相关的反馈循环非常有效。此外，诸如密钥推送保护之类的功能甚至可以阻止 PR 的创建，从而提供最早的反馈。⁴¹

• Snyk： 提供非常丰富且交互式的 PR 体验。它会发布一条摘要评论，详细说明发现的新漏洞数量，并按严重程度进行分类。对于 SAST 发现的结果，它会在相关的代码行上直接添加高上下文的内联注释。⁴³ 其最具创新性的功能是早期访问的 @snyk/fix 命令，该命令允许开发人员只需在 PR 上发表评论即可请求并应用自动修复，从而极大地加速工作流程。

• **SonarQube：**通过在拉取请求中发布质量门状态（清晰的“通过”或“失败”）并为已更改代码中发现的新问题创建注释来对其进行修饰。⁴⁴这使开发人员的注意力集中在他们贡献的代码的质量和安全性上，而不是让他们被预先存在的技术债务所压垮。为了获得最佳体验，需要配置 GitHub 应用。⁴⁵

• **Veracode：**可以配置为在拉取请求中添加包含扫描输出的摘要注释，或者为发现的每个漏洞创建单独的 GitHub 问题。⁴⁶结果也可以在存储库的“安全”选项卡中查看，该选项卡提供了一个更集成的视图。³⁹

• **Checkmarx 和 Fortify：**这两个平台都提供“拉取请求修饰”功能。²⁰这通常涉及将扫描结果摘要作为注释发布到拉取请求中。要启用此功能，Fortify 的工作流程需要仔细配置 GitHub Action，使其仅在 pull_request 事件发生时触发。20 与 Snyk 提供的内联评论和自动修复建议以及 GitHub 的原生注释相比，此反馈的丰富性和交互性可能不够先进。

最终，以开发者为中心的安全工具的目标是最大限度地减少上下文切换。开发者需要跳转到离当前拉取请求越远的地方才能理解、分类和修复安全问题，摩擦就越大，及时解决问题的可能性就越低。在这方面，GitHub 高级安全提供的原生内联反馈是无与伦比的。Snyk 高度交互式且功能丰富的拉取请求评论系统提供了一个极具吸引力且接近原生体验的替代方案，这体现了其致力于优化开发者工作流程的坚定决心。

企业应用及亚洲市场占有率

企业在选择战略技术合作伙伴时，不仅要考虑产品的技术优势，还要考虑供应商的市场稳定性、行业认可度以及在关键运营区域提供支持的能力。对于在新加坡设有分支机构的跨国公司而言，供应商在亚太市场的投入至关重要。

全球企业采用及行业认可

这六家厂商都是应用安全市场的知名企业，在全球企业中拥有广泛的采用率，并获得了主要行业分析公司的认可。

• Snyk 在 2023 年 Gartner 应用安全测试魔力象限中荣膺“领导者”地位，这充分证明了其快速增长和市场影响力。该公司为全球超过 4,500 家客户提供服务。⁴⁷

• Checkmarx 是企业级安全领域的领军企业，为全球超过 865 家大型企业提供安全防护。其旗舰平台 Checkmarx One 在不到三年的时间内，年度经常性收入 (ARR) 就突破了 1.5 亿美元，表明其市场接受度很高。⁴⁹

• Veracode 服务于多元化的全球客户群，涵盖从创新型初创公司到财富 500 强企业，并在应用安全 (AppSec) 市场拥有悠久的历史。⁵⁰

• Fortify 现已成为 OpenText 的一部分，是市场上资历最深的领导者之一，拥有超过二十年的专业经验，并持续获得所有主要分析机构的认可。²⁰

• SonarQube 被广泛采用，全球超过 40 万家组织使用其平台进行代码质量和安全管理。⁵¹

• GitHub 是全球最大的开发者平台，拥有超过 1.5 亿开发者用户，其中包括 90% 的财富 100 强企业。GitHub 高级安全是其企业级产品的重要组成部分，确保了其庞大的潜在用户群。⁵²

在亚洲及新加坡的业务布局与投资

供应商对亚太地区的投入程度可以通过其在本地基础设施、人员和合作伙伴关系方面的投入来衡量。这对于满足数据驻留要求和提供及时、本地化的支持尤为重要。

• Snyk 已在亚太地区进行了重大而明确的战略投资。该公司在新加坡设有枢纽办公室⁵³，更重要的是，还在悉尼设立了专门的亚太数据中心，以帮助客户满足本地数据驻留要求⁵⁴。2025年6月，该公司进一步扩大了这一承诺，在亚太地区本地部署了专用的Snyk API和Web基础设施实例，旨在降低延迟并简化数据主权法规的合规流程⁵⁵。Snyk强调了其在该地区的快速增长，并在其客户案例研究中重点介绍了ShopBack等亚洲公司⁵⁶。

• **SonarSource（SonarQube）**也对该地区做出了重大承诺，在新加坡设立了区域总部，作为其在东盟、澳新地区、中国和印度扩张的枢纽⁵⁷。该公司已在亚太地区站稳脚跟，拥有超过1000家商业客户，其中包括星展银行和新加坡税务局等知名的新加坡机构⁵⁸。

• Checkmarx正在积极拓展其在亚太地区的业务。该公司在新加坡推出了 Checkmarx One 平台，旨在服务更广泛的东盟地区，并任命新加坡公司 Human Managed 为其在亚洲的首家托管安全服务提供商 (MSSP)。⁵⁹ 其客户成功案例包括与菲律宾最大的航空公司宿务太平洋航空 (Cebu Pacific) 的详细案例研究。⁴⁹

• Veracode 主要通过合作伙伴网络在该地区开展业务，其合作伙伴遍布新加坡、印度、日本和其他亚洲国家。⁶¹ 虽然一份案例研究提到了其在印度的办事处⁶²，但所提供的资料并未表明其拥有与 Snyk、SonarSource 或 Checkmarx 相当的专用区域总部或数据中心基础设施。

• Fortify (OpenText) 在新加坡拥有稳定的客户群，其中包括 Zenith Infotech 和 TECHNOPALS PTE 等公司。 LTD..63 其在该地区的市场推广策略似乎得到了关键合作伙伴的支持，例如 Micro Focus 金牌合作伙伴 IARM。64

• GitHub 作为微软的子公司，利用了庞大的全球云基础设施。然而，现有信息并未明确 GHAS 在亚太地区的特定基础设施或数据驻留选项。9

对于在新加坡运营的企业，尤其是金融服务和政府等高度监管行业的企业而言，数据主权问题至关重要。当地法规可能要求敏感数据（包括源代码和漏洞信息）必须在特定的地理范围内存储和处理。Snyk、SonarSource 和 Checkmarx 在建立本地数据中心和区域总部方面投入巨资，使其在该市场拥有决定性的竞争优势。满足数据驻留要求的能力是一项至关重要且往往不容商榷的采购标准，而仅依赖合作伙伴主导模式的供应商可能难以满足这一标准。

供应商风险概况：重大安全事件和信息披露

采购安全工具时，一个至关重要但常被忽视的方面是评估工具本身的安全性。作为软件供应链的重要组成部分，AST平台一旦遭到入侵，就可能成为强大的攻击途径。本节将考察与受评估供应商相关的公开安全事件记录。

已公开披露漏洞分析

该研究发现的最重大安全事件与 SonarQube 有关。2025 年 9 月，SonarQube Scanner GitHub Action 中披露了一个高危命令注入漏洞 (CVE-2025-58178)。⁷

• 漏洞描述： 该漏洞源于操作的设计，其中命令行参数在未进行适当清理的情况下直接在 shell 上下文中展开。这使得能够控制这些参数的攻击者可以在 CI/CD 运行器上执行任意代码。鉴于 CI/CD 环境通常包含高度敏感的机密信息（云凭证、API 密钥、私有仓库访问令牌），此类漏洞的潜在影响是灾难性的。该问题的 CVSS 评分为 7.8（高危）。⁷

• 影响： 此次事件凸显了现代 DevSecOps 中一个令人警醒的现实：旨在保护流水线的工具本身可能成为主要的攻击面。被攻破的扫描器可能被用于窃取机密信息、将恶意代码注入生产工件，或转向攻击其他内部系统。它将防御资产转变为供应链的关键隐患。

• 应对措施： SonarQube 的应对策略是在公开披露详细的 CVE 信息之前，发布 GitHub Action 的补丁版本 (5.3.1)。7 这种方法允许主动用户在潜在攻击者广泛了解漏洞细节之前更新并保护自己。

对于其他供应商——Snyk、Checkmarx、Veracode、GitHub 和 Fortify——所提供的研究资料并未包含有关其核心平台或主要 CI/CD 集成中已公开披露的重大安全漏洞的信息。⁶⁵ Snyk 维护着一个开源软件包的公共漏洞数据库，并对其自身平台制定了明确的负责任披露政策。¹⁹ 一份用户报告指出，Jira 中可能存在一个集成错误，即已修复的漏洞未正确更新，但这属于可用性问题，而非安全缺陷。⁷⁰

对企业信任和供应链安全的影响

SonarQube事件对任何评估安全厂商的组织来说都是一个至关重要的教训。它表明，厂商的安全态势与其产品的安全功能同等重要。其他厂商没有公开披露安全事件并不意味着它们天生优越。有可能漏洞是在内部发现并修复的，而没有公开披露；或者，它们更封闭的SaaS原生架构比GitHub Action等广泛使用的开源组件更不容易受到公众监督。

这凸显了在尽职调查过程中超越公开记录的必要性。企业必须直接询问潜在供应商其内部安全软件开发生命周期（SDLC）实践。关键问题应包括：

• 您如何保障自身开发流程的安全？

• 您是否使用自研工具扫描产品（“内部测试”）？

• 如何处理和披露软件中发现的漏洞？

• 您会接受哪些第三方渗透测试和审计？

SonarQube漏洞提供了一个具体而真实的案例，足以证明对所有供应商进行如此严格审查的必要性。企业购买的不仅仅是产品，更是将最敏感的知识产权和核心开发基础设施的特权访问权限委托给供应商。这种信任必须通过透明度和对卓越安全的切实承诺来赢得。

投资分析：定价模型和总拥有成本 (TCO)

对AST平台的财务投资远不止初始许可费。全面的分析必须考虑供应商的定价模式、可扩展性以及构成总拥有成本（TCO）的各种直接和间接成本。所评估供应商的定价模式差异很大，反映了它们不同的市场推广策略和目标客户群体。

定价模式对比

• **Snyk：**采用按贡献开发者人数按月收费的模式。“贡献开发者”是指在过去 90 天内向 Snyk 监控的私有仓库提交过代码的用户。“团队版”起价为每位开发者每月 25 美元，最少需要五位开发者。Snyk 提供包含有限测试的免费版本，并为规模更大的组织提供定制的“企业版”计划。⁷¹ 该模式可预测，并可根据工程团队的规模直接扩展。

• **GitHub 高级安全：**采用类似的按活跃提交者人数按月收费的模式。它作为两个独立但互补的附加组件，分别销售给 GitHub 团队版或企业版计划：GitHub 代码安全（SAST、SCA），每位提交者每月 30 美元；以及 GitHub 密钥保护，每位提交者每月 19 美元。⁷² 该模式也可根据活跃开发者人数进行扩展。

• SonarQube：商业版的价格基于所分析的代码总行数 (LOC)，按年计算。开源的“社区版”免费。“开发者版”起价为每年 720 美元，适用于小型代码库。“企业版”采用分级定价；例如，500 万行代码的部署标价约为 35,700 美元，但第三方数据显示，折扣幅度较大（39-46%）的情况很常见。⁷³ 此模式的成本与代码库规模相关，而非开发人员数量。注意：来自 sonar.software 的定价信息应忽略不计，因为它与一款无关的 ISP 管理产品有关。⁷⁵

• Checkmarx：企业部署的定价主要基于定制报价。第三方采购数据显示，年度合同中位数约为 45,257.76 美元。AWS Marketplace 提供一些按许可证定价的方案（例如，SAST 的许可证价格为每年 1,035 美元/许可证），但最低交易金额为 30,000 美元，期限为一年。2

• Veracode： 也采用基于定制报价的定价模式。基本套餐的起价通常约为每年 15,000 美元，而全面的企业套件的年价格可能超过 100,000 美元。成本根据多种因素而变化，包括应用程序数量、扫描频率和代码行数。77

• Fortify： 采用基于定制报价的定价模式，通常使用称为“评估单元”(AU) 的指标或按应用程序定价。AWS Marketplace 上的产品列表显示，例如 15 个静态应用程序的套餐价格约为每年 14,190 美元。79

总拥有成本 (TCO) 考量因素

许可费只是总拥有成本 (TCO) 的组成部分之一。战略财务评估必须考虑其他几个关键因素：

• 实施和维护成本： SonarQube、Checkmarx 和 Fortify 等工具提供的本地部署或自托管部署方案会产生额外的硬件采购、安装、持续维护和升级成本。这些都需要专门的内部 IT 资源，与完全托管的 SaaS 解决方案相比，这可能是一笔不小的隐性成本。⁸⁰

• 运营成本（分类和修复）： 安全分析师和开发人员花费在分类警报、调查误报和修复漏洞上的时间是一项主要的运营成本。误报率高的工具（例如 Veracode 声称的 <1.1% 误报率）会消耗大量的工程时间，从而推高总体拥有成本 (TCO)。⁴

• 对开发人员生产力的影响： 最显著的隐性成本是对开发人员生产力的影响。运行缓慢、操作繁琐或反馈不清晰的工具可能会成为 CI/CD 流程的瓶颈，导致发布延迟。相反，一个能够最大限度减少摩擦并加速修复的平台——例如通过 Snyk 的自动化修复 PR、GitHub 的 Copilot Autofix 或 SonarQube 的 AI CodeFix 等功能——可以通过节省开发人员的时间并加快安全软件的交付速度，从而带来切实的投资回报。⁸

供应商的定价模式通常直接反映了其核心理念。Snyk 和 GitHub 的按开发者/提交者收费模式与 DevSecOps 文化天然契合，其目标是为每位开发者提供安全工具。成本会随着团队规模的扩大而可预测地增长。相比之下，基于代码行数（SonarQube）或应用程序数量（Veracode、Fortify）的模式可能会产生不良激励。为了控制成本，企业可能会选择性地扫描某些应用程序或代码库，从而导致安全覆盖不完整。对于旨在培养普遍安全文化的企业而言，鼓励而非限制广泛采用的定价模式更具战略意义。

定价模式及预估成本对比

供应商定价模式公开定价/估价总体拥有成本 (TCO) 考虑因素Snyk按贡献开发者收费 免费层级；团队：25 美元/开发者/月起；企业版：定制 71 纯 SaaS 模式最大限度地减少了基础设施开销。专注于自动化修复可以减少开发者的修复时间。SonarQube按代码行数 (LOC) 社区版：免费；开发者：720 美元/年起；企业版：定制（例如，500 万行代码约 2 万至 3.6 万美元）74 本地部署选项会增加维护成本。对于大型遗留代码库，LOC 模式可能成本高昂。Checkmarx定制报价/按许可证 合同中位数约为 4.5 万美元/年。最低交易额为 3 万美元/年。本地部署选项即将结束。本地部署选项正在逐步淘汰，客户将被推向云端，这可能涉及迁移成本。76 高精度可以缩短故障排查时间。Veracode 定制报价（按应用/代码行）起价约 1.5 万美元/年；企业套件超过 10 万美元/年。77 纯 SaaS 模式。低误报率 (<1.1%) 是降低总体拥有成本的关键因素，因为它节省了开发人员的故障排查时间。4GitHub 高级安全 按活跃提交者计费 代码安全：30 美元/提交者/月；密钥保护：19 美元/提交者/月。72 原生集成消除了设置/维护开销。Copilot Autofix 可以显著缩短修复时间。Fortify 定制报价（按应用/活跃提交者）套餐价格从约 1 万美元到 5 万美元以上/年。79 灵活部署（SaaS、托管、本地部署）。本地部署会增加大量的基础设施和人员成本。16

企业实施的战略建议

调查结果总结

对六大领先代码安全平台的全面分析表明，这是一个成熟而充满活力的市场，各供应商正通过架构理念、开发者体验和战略投资来凸显自身差异。最终采购决策应考虑的关键差异因素包括：

• 原生体验与集成体验： GitHub Advanced Security 提供真正原生、流畅的体验，而 Snyk 则提供高度完善、接近原生的集成。其他供应商虽然功能强大，但集成复杂度更高，开发者可能需要频繁切换上下文。

• 语言支持深度： 对于 Rust 和 Go 等现代语言，GitHub 和 Checkmarx 等供应商展现出比竞争对手更完善、更具前瞻性的支持水平，而部分竞争对手在这方面存在明显的不足。对于 Java，SonarQube 和 Checkmarx 的支持深度尤为突出。

• 对亚太地区的投入： Snyk、SonarSource 和 Checkmarx 已在新加坡及更广泛的亚太地区投入大量资金，用于本地基础设施（数据中心）和人员（区域总部），直接满足关键的数据驻留需求。

• 主动控制与被动控制： GitHub 的推送保护机制中的秘密扫描就是一个典型的主动预防性控制示例，其效果远胜于其他平台提供的纯粹的检测措施。

• 定价模式的一致性： 按开发者/提交者付费的定价模式（例如 Snyk 和 GitHub）比基于代码行数或应用程序数量的定价模式更符合促进 DevSecOps 文化普及的目标，后者可能会无意中阻碍全面扫描。

推荐场景

没有一个平台能够适用于所有企业，堪称“最佳”。最佳选择取决于企业应用安全计划的主要战略驱动因素。基于本报告的研究结果，我们针对四种不同的战略场景提出了以下建议。

方案 A：最大化开发者速度和原生工作流集成

• 主要驱动因素： 该组织的首要任务是以最小的阻力将安全性嵌入到开发流程中，确保开发者最大程度地接受并保持开发速度。开发者体验至关重要。

• 推荐： GitHub 高级安全 (GHAS)

• 理由： 作为 GitHub 平台的原生组件，GHAS 提供了无与伦比的集成度。安全警报以内联代码注释的形式呈现在拉取请求中，整个系统通过熟悉的 GitHub Actions 工作流进行管理。⁴⁰ 无需学习任何单独的工具，无需访问外部仪表板，也无需维护复杂的集成。CodeQL 引擎提供高度准确的结果，最大限度地减少误报疲劳，而诸如密钥推送保护之类的功能则提供了强大的主动安全保护，可在漏洞进入代码库之前就将其阻止。⁹ 对于已经致力于 GitHub 生态系统的组织而言，GHAS 是实现低阻力 DevSecOps 的最直接途径。

方案 B：专注于开源和亚太地区运营的一流开发者工具

• 主要驱动因素： 该组织寻求一套一流的、以开发者为中心的工具集，该工具集在软件供应链安全方面表现卓越，并为其亚洲业务提供强大的本地支持和数据驻留。

• 推荐： Snyk

• 理由： Snyk 以开发者至上的理念而闻名。其市场领先的软件供应链安全分析 (SCA) 功能，结合自动化修复 PR 和交互式 @snyk/fix 命令等创新特性，旨在帮助开发者高效地掌握和修复安全问题。⁴³ 其软件安全应用测试 (SAST) 引擎速度快，并提供丰富的上下文反馈。至关重要的是，Snyk 对亚太地区的坚定承诺，包括新加坡办事处、专用本地数据中心和 API 基础设施，直接满足了用户对数据主权和区域支持的需求，使其成为新加坡受监管行业的理想之选。⁵⁴

场景 C：针对复杂企业组合的深度合规安全

• 主要驱动因素： 该组织身处高度监管的行业，需要一个集中式的企业级平台，提供深度、全面的扫描、强大的策略执行以及详细的审计和合规性报告。主要利益相关者是中央安全团队。

• 推荐： Checkmarx

• 理由： Checkmarx 长期以来一直是为大型企业提供强大静态应用安全测试 (SAST) 的领导者。它能够扫描未编译的代码、执行增量扫描，并支持极其广泛的语言（包括遗留系统），使其非常适合复杂、异构的环境。² Checkmarx One 平台统一了 SAST、SCA、IaC 和 API 安全，提供安全和合规团队所需的集中式可见性和治理。¹⁰ 其在亚太市场强大的影响力和不断增长的业务，包括在新加坡推出的平台以及重要的区域客户，确保其能够满足该地区的企业需求。⁵⁹

场景 D：Java 密集型环境中的成熟代码质量计划

• **主要驱动因素：**该组织拥有强大的工程文化，高度重视代码质量和精益求精，并对 Java 生态系统进行了大量投资。安全性被视为整体代码质量的关键维度。

• 推荐： SonarQube

• **理由：**SonarQube 起源于代码质量分析，这至今仍是其核心优势。其“代码清洁”理念，通过 CI/CD 流水线中的质量门进行强化，与注重质量的开发团队高度契合。²¹它对 Java 的支持非常出色，利用深度分析和业界领先的污点分析来发现细微的安全漏洞。⁸对于希望在单一统一框架内管理技术债务、代码异味和安全漏洞的组织而言，SonarQube 是一个理想的选择。其在新加坡设立的区域总部以及强大的本地企业客户群，确保了对亚太地区业务的有力支持。⁵⁸

最终实施注意事项

在做出最终采购决定之前，组织应采取以下步骤：

• 开展针对性概念验证 (POC)： 选择一个使用目标技术栈（Node.js、TypeScript、Java、Rust、Go）的代表性项目，并在两个最受推荐的平台上运行。POC 应重点评估发现结果的质量、误报率、集成便捷性，以及最重要的，开发团队对用户体验的定性反馈。

• 进行供应商安全尽职调查： 以 SonarQube GitHub Action 事件为例进行案例研究。7 直接询问所有入围供应商关于其内部安全软件开发生命周期 (SDLC) 实践、漏洞披露政策和第三方安全审计的情况。供应商能否透明地回答这些问题是其安全成熟度的关键指标。

• 验证区域能力： 对于在新加坡业务较少的供应商（例如 Veracode、Fortify），直接验证其满足数据驻留要求和提供本地时区技术支持的能力。向东盟地区现有客户索取参考案例。

• 总体拥有成本模型： 与供应商合作，根据其具体的定价结构构建详细的总体拥有成本模型。对于 Snyk 和 GitHub，根据预计的活跃开发者/提交者数量来构建成本模型。对于 SonarQube，估算所有相关代码库的总代码行数。此财务分析将是最终商业案例的关键组成部分。

参考文献

• Gartner® 2023 年应用安全测试魔力象限报告 - Mend.io，访问日期：2025 年 10 月 11 日，https://www.mend.io/blog/magic-quadrant-for-application-security-testing-2023-gartner-report/

• Checkmarx One - AWS Marketplace，访问日期：2025 年 10 月 11 日，https://aws.amazon.com/marketplace/pp/prodview-xbxjoco7f6xwi

• 什么是 Snyk？ | Snyk 用户文档，访问日期：2025 年 10 月 11 日，https://docs.snyk.io/discover-snyk/whats-snyk

• Veracode：持续软件安全平台 - AWS Marketplace，访问日期：2025 年 10 月 11 日，https://aws.amazon.com/marketplace/pp/prodview-fce3dcrhn5fes

• TypeScript 代码检查器 |由 Snyk Code 提供技术支持，访问日期：2025 年 10 月 11 日，https://snyk.io/code-checker/typescript/

• Checkmarx 全球研究显示，63% 的参与机构在过去两年中遭受过软件供应链攻击，访问日期：2025 年 10 月 11 日，https://checkmarx.com/press-releases/global-checkmarx-study-reveals-63-of-participating-organizations-have-fallen-victim-to-a-software-supply-chain-attack-in-past-two-years/

• SonarQube 扫描器发布重大安全警报 | 作者：Sonali Sood | 2025 年 9 月 - Medium，访问日期：2025 年 10 月 11 日，https://medium.com/@sonalisood0/a-major-security-alert-in-sonarqube-scanner-dc495ca87cfc

• SonarQube - 维基百科，访问日期：2025 年 10 月 11 日，https://en.wikipedia.org/wiki/SonarQube

• 关于 GitHub 高级安全 - GitHub 企业云文档，访问日期：2025 年 10 月 11 日，https://docs.github.com/enterprise-cloud@latest/get-started/learning-about-github/about-github-advanced-security

• SAST 扫描：静态应用程序安全测试 - Checkmarx，访问日期：2025 年 10 月 11 日https://checkmarx.com/cxsast-source-code-scanning/

• Snyk CLI 扫描并监控您的项目是否存在安全漏洞。- GitHub，访问日期：2025 年 10 月 11 日，https://github.com/snyk/cli

• 代码分析详解 | Snyk 用户文档，访问日期：2025 年 10 月 11 日，https://docs.snyk.io/scan-with-snyk/snyk-code/manage-code-vulnerabilities/breakdown-of-code-analysis

• 源代码分析解决方案 | Veracode，访问日期：2025 年 10 月 11 日，https://www.veracode.com/security/code-analysis/

• 使用 GitHub 高级安全进行应用程序安全编排，访问日期：2025 年 10 月 11 日，https://github.blog/security/application-security/application-security-orchestration-with-github-advanced-security/

• CodeQL 查询套件 - GitHub 文档，访问日期：2025 年 10 月 11 日，https://docs.github.com/en/code-security/code-scanning/managing-your-code-scanning-configuration/codeql-query-suites

• Fortify 静态代码分析器 (SCA) 静态应用程序安全测试数据表，访问日期：2025 年 10 月 11 日， https://www.microfocus.com/en-gb/media/data-sheet/fortify-static-code-analyzer-static-application-security-testing-ds-a4.pdf

• 什么是 Fortify 以及它的工作原理？概述及其用例 - DevOpsSchool.com，访问日期：2025 年 10 月 11 日，https://www.devopsschool.com/blog/what-is-fortify-and-how-it-works-an-overview-and-its-use-cases/

• OpenText™ 静态应用程序安全测试 (Fortify)，访问日期：2025 年 10 月 11 日，https://www.opentext.com/products/static-application-security-testing

• Snyk 漏洞数据库 | Snyk，访问日期：2025 年 10 月 11 日，https://security.snyk.io/

• Fortify GitHub Actions，访问日期：2025 年 10 月 11 日，https://github.com/fortify/github-action

• SonarQube 免费开源社区版 | Sonar，访问日期：2025 年 10 月 11 日，https://www.sonarsource.com/open-source-editions/sonarqube-community-edition/

• 支持的语言列表 | Snyk 用户文档，访问日期：2025 年 10 月 11 日，https://docs.snyk.io/supported-languages/supported-languages-list

• en.wikipedia.org，访问日期：2025 年 10 月 11 日，https://en.wikipedia.org/wiki/SonarQube#:~:text=The%20commercial%20offerings%20of%20SonarQube,NET%2C%20VB6%2C%20and%20XML.

• 语言概述 - Checkmarx，访问日期：2025 年 10 月 11 日，https://checkmarx.com/languages/

• 为 Azure DevOps 设置 GitHub 高级安全代码扫描 - Microsoft Learn，访问日期：2025 年 10 月 11 日https://learn.microsoft.com/en-us/azure/devops/repos/security/github-advanced-security-code-scanning?view=azure-devops

• OpenText 静态应用程序安全测试，访问日期：2025 年 10 月 11 日，https://www.opentext.com/media/data-sheet/opentext-static-application-security-testing-ds-en.pdf

• 开源 JavaScript | Snyk 用户文档，访问日期：2025 年 10 月 11 日，https://docs.snyk.io/supported-languages/supported-languages-list/javascript/javascript-for-open-source

• CodeQL 2.23.2 为 Rust 添加了更多检测，并提高了跨语言的准确率 - GitHub 博客，访问日期：2025 年 10 月 11 日，https://github.blog/changelog/2025-10-09-codeql-2-23-2-adds-additional-detections-for-rust-and-improves-accuracy-across-languages/

• 10 个常见的后端漏洞（基于 Checkmarx 的发现）— Spring Boot 版 | 作者：Nasiruddin Manihar | 2025 年 9 月 | Medium，访问日期：2025 年 10 月 11 日，https://medium.com/@nasiruddinmanihar123/10-common-backend-vulnerabilities-based-on-checkmarx-findings-spring-boot-edition-bd7bec3086d2

• GitHub Java 高级安全扫描教程仓库，访问日期：2025 年 10 月 11 日，https://github.com/advanced-security/demo-java

• CodeQL 编译型语言代码扫描 - GitHub 文档，访问日期：2025 年 10 月 11 日，https://docs.github.com/en/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/codeql-code-scanning-for-compiled-languages

• Go 语言安全快速入门主题 Go 语言指南 - Checkmarx.com，访问日期：2025 年 10 月 11 日，https://info.checkmarx.com/wp-a-quick-intro-to-go

• 什么是 Rust？开发者如何从 Rust 语言安全中受益？访问日期：2025 年 10 月 11 日，https://checkmarx.com/glossary/what-is-rust-and-how-developers-can-benefit-from-rust-language-security/

• Snyk GitHub 云应用 | Snyk 培训，访问日期：2025 年 10 月 11 日，https://learn.snyk.io/lesson/snyk-github-cloud-app/

• snyk/actions：一组用于检查项目漏洞的 GitHub 操作。 - GitHub，访问日期：2025 年 10 月 11 日，https://github.com/snyk/actions

• 官方 SonarQube 扫描 · Actions · GitHub Marketplace，访问日期：2025 年 10 月 11 日，https://github.com/marketplace/actions/official-sonarqube-scan

• GitHub 自托管 - Checkmarx 文档，访问日期：2025 年 10 月 11 日，https://docs.checkmarx.com/en/34965-86574-github-self-hosted.html

• Checkmarx：与 GitHub Actions 集成 | 作者：Piyali Das | 2025 年 8 月 - Medium，访问日期：2025 年 10 月 11 日，https://medium.com/@piyalidas.it/checkmarx-integration-with-github-actions-b7619f9e1a3a

• GitHub 工作流集成 - Veracode 文档，访问日期：2025 年 10 月 11 日，https://docs.veracode.com/r/GitHub_Workflow_Integration_for_Repo_Scanning

• 关于状态检查 - GitHub 文档，访问日期：2025 年 10 月 11 日，https://docs.github.com/articles/about-status-checks

• advanced-security/secret-scanning-review-action：检测拉取请求中是否已检测到密钥的操作 - GitHub，访问日期：2025 年 10 月 11 日https://github.com/advanced-security/secret-scanning-review-action

• 关于代码扫描警报 - GitHub 文档，访问日期：2025 年 10 月 11 日，https://docs.github.com/en/code-security/code-scanning/managing-code-scanning-alerts/about-code-scanning-alerts

• Snyk PR 检查您的 Pull Request/Merge Request | 产品培训 - Snyk Learn，访问日期：2025 年 10 月 11 日，https://learn.snyk.io/lesson/checking-your-code-with-pr-checks/

• Pull Request 分析 | SonarQube 文档，访问日期：2025 年 10 月 11 日，https://pmpl.cs.ui.ac.id/sonarqube/documentation/analysis/pull-request/

• Xablu/github-pr-decoration-action，访问日期：2025 年 10 月 11 日，https://github.com/Xablu/github-pr-decoration-action

• Veracode 软件成分分析扫描 - GitHub，访问日期：2025 年 10 月 11 日，https://github.com/veracode/veracode-sca

• Snyk 被评为 2023 年 Gartner® 魔力象限™ 领导者，访问日期：2025 年 10 月 11 日，https://go.snyk.io/gartner-magic-quadrant-2023.html

• Snyk 新加坡办公室：职业发展、福利待遇及企业文化，访问日期：2025 年 10 月 11 日，https://builtinsingapore.com/company/snyk

• Checkmarx One 在新领导层的带领下，三年内实现前所未有的企业级应用，年度经常性收入超过 1.5 亿美元，访问日期：2025 年 10 月 11 日，https://checkmarx.com/press-releases/checkmarx-one-achieves-unprecedented-enterprise-adoption/

• Veracode 客户成功案例，访问日期：2025 年 10 月 11 日，https://www.veracode.com/customers/

• 使用 Sonar 的客户和组织，访问日期：2025 年 10 月 11 日，https://www.sonarsource.com/company/customers/

• 客户案例 - GitHub，访问日期：2025 年 10 月 11 日，https://github.com/customer-stories

• 联系我们 | Snyk，访问日期：2025 年 10 月 11 日，https://snyk.io/contact-us/

• 安全平台 Snyk 宣布在亚太地区建立数据中心，访问日期：2025 年 10 月 11 日，https://datacenternews.asia/story/security-platform-snyk-announces-data-centre-in-apac

• 宣布为亚太地区推出专用的 Snyk API 和 Web 基础设施实例，访问日期：2025 年 10 月 11 日，https://snyk.io/blog/announcing-snyk-api-and-web-infrastructure-instance-for-asia-pacific/

• 客户案例研究 | Snyk，访问日期：2025年10月11日，https://snyk.io/case-studies/

• 联系 Sonar（原 Sonarsource），访问日期：2025年10月11日，https://www.sonarsource.com/company/contact/

• Sonar 将“整洁代码”运动扩展至亚太地区，访问日期：2025年10月11日，https://www.sonarsource.com/company/press-releases/apac-announcement/

• Checkmarx 在新加坡推出 Checkmarx One™ 应用安全平台，访问日期：2025年10月11日，https://checkmarx.com/press-releases/checkmarx-launches-checkmarx-one-ast-in-singapore/

• 宿务太平洋航空通过以下方式将漏洞密度降低了一半Checkmarx One，访问日期：2025年10月11日，https://checkmarx.com/case-study-highlights-cebu-pacific/

• 寻找合作伙伴 - Veracode，访问日期：2025年10月11日，https://www.veracode.com/partners/find-a-partner/

• 案例研究 - Veracode，访问日期：2025年10月11日，https://www.veracode.com/wp-content/uploads/2024/06/Shiva-Prasad-Reddy_Case_Study_from_PeerSpot.pdf

• 新加坡使用 Fortify on Demand 的公司列表 (6) - TheirStack.com，访问日期：2025年10月11日https://theirstack.com/en/technology/fortify-on-demand/sg

• Micro Focus 金牌合作伙伴 | Fortify 产品经销商 - IARM 信息安全，访问日期：2025 年 10 月 11 日，https://iarminfo.com/partners/micro-focus/

• 2024 年 API 安全终极指南 - Checkmarx，访问日期：2025 年 10 月 11 日，https://checkmarx.com/learn/api-security/ultimate-guide-to-api-security/

• 应用安全网络研讨会 | Veracode，访问日期：2025 年 10 月 11 日，https://www.veracode.com/resources/webinars/

• 安全日志事件 - GitHub 文档，访问日期：2025 年 10 月 11 日，https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/security-log-events

• 全球即将举办的网络研讨会、活动和会议 | Fortinet，访问日期：2025 年 10 月 11 日，https://www.fortinet.com/corporate/about-us/events

• 安全概述 · snyk/cli · GitHub，访问日期：2025 年 10 月 11 日，https://github.com/snyk/cli/security

• Snyk 项目安全领域中显示的漏洞从未被修复，访问日期：2025 年 10 月 11 日，https://community.atlassian.com/forums/Jira-questions/Snyk-vulnerabilities-shown-in-the-Security-space-of-the-project/qaq-p/2608384

• Snyk 计划和定价 | 免费试用或每月 25 美元起 |获取定制报价，访问日期：2025 年 10 月 11 日，https://snyk.io/plans/

• GitHub 高级安全 · 为每个代码库提供内置保护，访问日期：2025 年 10 月 11 日，https://github.com/security/plans

• 基于 SonarQube 的代码质量、安全性和静态分析工具 | Sonar，访问日期：2025 年 10 月 11 日，https://www.sonarsource.com/products/sonarqube/

• Sonarsource 软件定价及方案 2025：查看您的成本 - Vendr，访问日期：2025 年 10 月 11 日，https://www.vendr.com/marketplace/sonarsource

• 定价及方案 - Sonar 软件，访问日期：2025 年 10 月 11 日，https://sonar.software/pricing

• Checkmarx 软件定价及方案 2025：查看您的成本 - Vendr，访问日期：2025 年 10 月 11 日，https://www.vendr.com/marketplace/checkmarx

• Veracode 定价 2025：值得吗？ - Beagle Security，访问日期：2025 年 10 月 11 日，https://beaglesecurity.com/blog/article/veracode-pricing.html

• Veracode 定价概述：安全产品指南 - UnderDefense，访问日期：2025 年 10 月 11 日，https://underdefense.com/industry-pricings/veracode-pricing-2025-ultimate-guide-for-security-products/

• AWS Marketplace：OpenText Core Application Security (Fortify) - Amazon.com，访问日期：2025 年 10 月 11 日，https://aws.amazon.com/marketplace/pp/prodview-mmgtuyay3hhmk

• SaaS 与本地部署解决方案：区别及选择方法 | LeanIX，访问日期：2025 年 10 月 11 日，https://www.leanix.net/en/wiki/apm/saas-vs-on-premise

• SonarQube 服务器定价 2025 - 开发者版 - TrustRadius，访问日期：2025 年 10 月 11 日，https://www.trustradius.com/products/sonarqube/pricing

• SonarQube 与 Checkmarx 对比 | Aikido Security，访问日期：2025 年 10 月 11 日，https://www.aikido.dev/blog/sonarqube-vs-checkmarx