CI集成网站漏洞扫描
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
VAddy 是由日本株式会社ビットフォレスト提供的云端 Web 脆弱性诊断工具,定位为面向 DevOps 的自动化 Web 漏洞扫描器。它通过接入现有 CI 流程,在每次代码变更或构建后执行安全检查,帮助开发团队在发布前持续发现问题,而不是等到上线前集中做一次扫描。
从防护类型看,VAddy 属于 DAST/黑盒 Web 应用漏洞扫描服务,正文明确支持 SQL 注入、XSS、远程文件包含、命令注入、目录遍历等检测。扫描对象包括 URL 路径参数、表单认证应用、Basic 认证、SSL 站点、带 CSRF Token 的表单以及 REST API,且支持 JSON 请求参数。它还允许查看用于发现漏洞的请求,便于复现攻击并修复代码。需要注意的是,持久型 XSS 和 DOM-based XSS 在正文中被列为未来计划,并非已确认能力。
部署方式为云端 SaaS/ASP 服务,用户通过管理控制台、Web API、插件或客户端工具使用。VAddy 的突出点在于 CI/CD 集成,支持 Jenkins、CircleCI、Codeship、Travis CI、Wercker 等,也提供 Jenkins 插件、Web API 文档、Ruby Client 和 go-vaddy 命令工具。管理方面,正文提到扫描后可在提交包含漏洞时告警,并能可视化按团队成员或代码模块产生漏洞的频率;条款还显示其具备团队功能、组织管理功能和 Enterprise 相关角色权限。
定价信息不透明。正文只说明存在无偿计划、有偿计划、有偿选项、无偿选项以及 Enterprise 计划,但没有具体价格、扫描额度、并发限制或计费周期。合规认证、SLA、数据驻留、审计报告等企业采购常见信息也未在抓取正文中出现,需进一步向厂商确认。
优点是开发者无需安全专家背景即可上手,能嵌入现有流水线,适合持续安全回归;对多语言和多框架的适配也被强调。缺点是它主要覆盖 Web 黑盒漏洞扫描,不能替代 SAST、SCA、WAF 或完整安全运营平台;高级漏洞类型和企业级合规信息披露不足。它更适合有 CI/CD 基础、希望把 Web 安全测试左移的开发团队和 DevOps 团队。
中国大陆访问、支付方式、中文支持情况正文未说明,china_access 只能评估为未知。若访问或采购受限,可考虑 OWASP ZAP、Burp Suite Enterprise、Invicti、Acunetix、StackHawk,或国内云厂商的 Web 漏洞扫描与云安全中心类产品。
本测评基于公开资料整理,不构成购买建议,请以 vaddy.net 官网实际信息为准。
面向DevOps团队,适合上线前安全检测
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。