托管式应用安全测试
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
True Positives(域名true-positives.com)是一家主打应用安全测试解决方案的服务商,核心依托Invicti的证据型DAST(动态应用安全测试)引擎提供服务,主打「零假阳性」的精准漏洞发现,针对不同企业的团队资源和需求,设计了两种不同的交付模式,帮助企业以更匹配自身能力的方式获得准确的应用安全风险结果。该平台的核心团队成员来自@stake、Veracode、Cisco、Rapid7、Intel、Microsoft等主流安全与科技企业,具备成熟的行业经验。
True Positives的核心服务分为两种模式,均基于同一Invicti核心引擎:第一种是直接平台许可模式,面向有专职AppSec团队的企业,提供Invicti云平台的转售许可,包含无限扫描、无限用户席位,支持GitHub/GitLab/Jenkins/Azure DevOps原生集成、API与影子资产发现,可选择SaaS/本地/混合部署,还提供可选的部署保障入职辅导和手动评估附加服务。第二种是全托管应用安全模式,面向无专职AppSec人员的企业,由专业从业者全程负责扫描和验证,提供99.98%准确率的专家验证结果,支持持续或按需测试,输出合规报告并提供资深安全专家的战略指导。
所有新用户都可以先获得免费的生产配置评估扫描,针对实际业务应用输出真实漏洞结果,再决定是否采购正式服务,官网未披露具体定价。
优点方面,两种交付模式的设计适配性极强,无论是有成熟团队的大型企业,还是没有专职安全人员的中小企业,都能找到匹配的方案;前置免费评估扫描可以让用户在付费前拿到真实的自身应用风险结果,避免了传统厂商仅展示演示的信息差;承诺零假阳性、99.98%的验证准确率,解决了安全测试中最影响效率的痛点。缺点方面,官网全程未披露具体定价,价格透明度不足,用户需要咨询后才能获得报价;核心技术依赖第三方Invicti引擎,没有自主研发的底层测试能力。
适合两种类型的企业:一是拥有至少一名合格AppSec专业人员、需要直接掌控扫描流程、需要对接CI/CD pipeline的企业,适合选择直接平台许可模式;二是无专职AppSec人员、需要满足第三方合规要求、希望外包测试专注核心业务的企业,适合选择全托管模式。本次抓取内容未涉及中国访问相关信息,访问状态为未知。
本测评基于公开资料整理,不构成购买建议,请以 true-positives.com 官网实际信息为准。
基于 Invicti,适合有合规需求团队。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。