defectdojo.com 安全测评
自动化漏洞管理平台
⚡ 评分构成
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
- 可统一汇聚多类安全发现,降低工具割裂
- 支持超过 200 个安全工具集成
- 具备导入、去重、自动化、工单创建等流程能力
- 同时覆盖 AppSec、漏洞管理与 SOC 告警场景
- 提供开源版与 Pro 版,适配不同预算
- 正文未披露具体定价,采购预算评估不充分
- 合规认证信息未说明
- 中国大陆访问、支付与本地化支持情况未说明
- 高级能力集中在 Pro 版,开源版与 Pro 版边界需进一步确认
深度测评
是什么
DefectDojo 定位为统一漏洞管理与 DevSecOps 平台,核心目标是把来自 AppSec、漏洞管理、SOC 等不同来源的安全发现集中到一个“single pane of glass”中,帮助团队降噪、去重、排序并推动修复。它提供 Open source 与 Pro 两类选择,适合从开源自建到企业级安全运营的不同需求。
核心能力
在防护类型上,DefectDojo 更偏向漏洞管理、风险编排和安全发现聚合,而不是传统边界防护产品。平台支持核心漏洞发现导入与去重、手动导入与重新导入、可调去重、后台导入、规则引擎自动化,以及基于组织自身风险画像的优先级评估。管理侧提供基础和 Pro 专属仪表盘、面向 C-suite 与董事会的报告,并可将漏洞自动创建为 Jira 工单。集成方面是其亮点:正文明确提到原生集成超过 200 个安全工具,支持 REST API、Swagger UI、CLI、Snyk、SonarQube、AWS、CSV/JSON 通用解析、Universal Importer,以及通过 MCP 连接 LLM。
部署、定价与合规
部署方式较灵活,文本称可部署在任意平台和环境,并提供云托管选项;同时有开源版和 Pro 版。认证与权限方面支持用户名、LDAP、SAML、OAuth、RBAC,Pro 功能列表中还包括 MFA、租户隔离和静态加密。价格方面仅看到免费试用、预约 Pro 演示、Open source 与 Pro 版本说明,未披露具体订阅费用或计费口径。合规认证未在正文中给出,不能推断其是否具备 SOC 2、ISO 27001 等认证。
优缺点
优点是覆盖面较广,能把大量安全工具输出统一聚合,并通过去重、自动化和报表减少安全团队的重复劳动;其百万级发现摄取能力、SOC 与 AppSec 合并、Pro 支持与 SLA,对成熟企业安全团队有吸引力。局限在于定价不透明,合规认证和中国大陆访问/支付信息缺失;此外,高级仪表盘、云托管、MFA、Premium support、租户隔离等能力更偏 Pro,开源版落地时可能需要更多自运维投入。
适合谁与中国访问
DefectDojo 适合已有多种扫描器、SAST/DAST/SCA、云安全或 SOC 工具,且需要统一漏洞台账、优先级排序和管理层报告的中大型团队,也适合希望以开源版本起步的 DevSecOps 团队。中国访问情况正文未说明,域名可用性、网络稳定性、付款方式和本地支持均需实测或向厂商确认;若受限,可考虑本地化漏洞管理平台或自建开源版作为替代路径。
本测评基于公开资料整理,不构成购买建议,请以 defectdojo.com 官网实际信息为准。
中文卖点
知名开源AppSec平台,适合安全团队和开发者。
官网快照
价格走势
用户评价
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。