mayhem.security 安全测评
自动化代码API安全测试
⚡ 评分构成
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
- 强调每个结果附带 Proof of Vulnerability,降低误报
- 同时覆盖代码、API 与 SBOM,适合统一应用安全流程
- 支持 GitHub、GitLab、Jenkins、Jira、Slack、Azure DevOps 等常见工程工具
- 支持 SaaS、私有云和隔离网络部署,适配企业与高安全行业
- 提供 SARIF、CWE、预测 CVSS、复现命令等开发者友好输出
- 公开页面未披露定价,采购成本不透明
- 能力较偏工程化和自动化安全测试,落地效果依赖 CI/CD、API 规格和开发流程成熟度
- 页面未提供中国区访问、支付方式或本地服务信息
- 合规内容多为辅助达成或支持导出,并非直接认证声明
深度测评
是什么
Mayhem Security 是面向开发者和安全团队的自动化应用安全测试平台,覆盖 Code Security、API Security 与 Dynamic SBOM。其核心思路不是单纯扫描,而是用模糊测试、专有符号执行、生成式 AI/ML、自动化复现与分诊来验证漏洞,并强调为每个结果提供 Proof of Vulnerability,从而减少误报。
核心能力与部署
在防护类型上,Mayhem 适合代码缺陷挖掘、REST/gRPC API 的 OWASP API Top 10 验证、运行时 SBOM/SCA 告警降噪,以及回归测试。API 侧支持 OpenAPI、Postman Collections、HAR 转 OpenAPI、Basic Auth、Bearer Token、Cookie 与自定义认证;代码侧支持 Linux/Windows 二进制、ARM/MIPS/PPC、容器化应用、网络输入、vECU fuzz 等。部署方式较完整,包含托管 SaaS、私有 AWS/GCP/Azure 云、完全隔离网络安装,并提供 Web UI、原生 CLI 与 Docker CLI。
管理、告警与集成
平台提供单一仪表盘、SARIF 报告、CWE 标签、预测 CVSS、复现命令、自动去重、自动分诊、回归测试和代码提交关联。集成方面覆盖 GitHub、GitLab、Jenkins、Jira、Slack、CircleCI、Azure DevOps、Google Chat、Travis CI,也支持 SAML/OpenID/OAuth、LDAP/AD、Webhooks、CycloneDX、SPDX、ZAP、AFL++、libFuzzer 等,适合嵌入成熟 CI/CD 和 DevSecOps 流程。
定价与合规
页面未披露价格,仅提供 Get a Demo,说明更偏企业销售模式。合规方面,Mayhem 提到可辅助 ED-203A/DO-356A、ISO 21434、UN 155/6、ISO 26262、NIST SSDF、SOC 2、EO 14028 等场景,并支持导出测试、结果和修复证明,但这不是其自身认证声明。
优缺点与适合谁
优点是漏洞可复现、误报控制强、覆盖代码/API/SBOM、部署灵活且集成丰富;缺点是公开成本不透明,落地依赖 API 规格、构建环境和研发流程成熟度。它更适合企业、航空航天、汽车、政府、医疗等对软件安全和审计证据要求高的团队。
中国访问与替代品
抓取内容未提供中国区网络、支付或本地支持信息,访问状态判定为未知。若需要国内采购、等保或本地化服务,可同时评估奇安信、绿盟、悬镜、默安等 DevSecOps/应用安全产品;国际替代或互补工具包括 Snyk、Black Duck、ZAP、StackHawk、GitHub CodeQL、AFL++、libFuzzer 等。
本测评基于公开资料整理,不构成购买建议,请以 mayhem.security 官网实际信息为准。
中文卖点
开发者友好的低误报安全测试。
官网快照
价格走势
用户评价
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。