1.2　扫描工具

1.2.1　商用产品

从产品分类的角度看，扫描类工具可以算作脆弱性评估（Vulnerability Assessed，VA）类软件，这些工具是脆弱性管理（Vulnerability Management，VM）或者脆弱性风险管理（Vulnerability Risk Management，VRM）的重要组成部分。在这个领域中，活跃着一批开源免费的工具，下文会进行比较详细的介绍。除了开源免费产品外，还有一些效果更好、支持更多的商业化平台、产品和服务。

2019年The Forrester Wave发布了最新的报告“The Forrester WaveTM: Vulnerability Risk Management, Q4 2019”，其中介绍了13家提供脆弱性管理平台和脆弱性评估工具的厂商，并且从三个维度（市场份额、发展策略及产品成熟度）对这13家厂商进行了综合评分、排名。在LEADERS象限中的厂商优于STRONG PERFORMERS象限中的厂商，以此类推，STRONG PERFORMERS象限中的厂商优于CONTENDERS象限中的厂商，CONTENDERS象限中的厂商优于CHALLENGERS象限中的厂商。如图1-6所示，在这13家厂商中，3家在LEADERS象限，4家在STRONG PERFORMERS象限，5家在CONTENDERS象限，1家在CHALLENGERS象限。

图1-6　漏洞风险管理产品魔力象限（2019年第四季度）

（1）LEADERS象限中的3家厂商

1）Tenable

Tenable的官方网站是https://www.tenable.com，其提供Nessus Essentials、Nessus Pro-fessional以及基于云端的tenable.io三款产品。

2）Rapid7

Rapid7的官方网站是https://www.rapid7.com，其提供Rapid7 insightVM、Rapid7 nex-pose两款产品。

3）Qualys

Qualys的官方网站是https://www.qualys.com，其产品为基于云端的Cloud Platform。

（2）STRONG PERFORMERS象限中的4家厂商

1）Nopsec

Nopsec的官方网站是https://www.nopsec.com，其产品为基于云端的Nopsec Unified VRM。

2）Kenna Security

Kenna Security的官方网站是https://www.kennasecurity.com，其产品为Kenna Security Platform。

3）RiskIQ

RiskIQ的官方网站是https://www.riskiq.com，其产品为RiskIQ Illuminate。

4）Expanse

Expanse的官方网站是https://www.expanse.co，其产品为Expanse APIs and Integrations。

（3）CONTENDERS象限中的5家厂商

1）Digital Defense

Digital Defense的官方网站是https://www.digitaldefense.com，其提供Frontline Vulnerability Manager、Frontline Web Application Scanning、Frontline Cloud Platform三款产品。

2）RiskSense

RiskSense的官方网站是https://risksense.com，其产品为RiskSense Platform。

3）Brinqa

Brinqa的官方网站是https://www.brinqa.com，其产品为Vulnerability Risk Service。

4）RedSeal

RedSeal的官方网站是https://www.redseal.net，其产品为RedSeal Platform。

5）Skybox Security

Skybox Security的官方网站是https://www.skyboxsecurity.com，其产品为Vulnerability Management。

（4）CHALLENGERS象限中的1家厂商

Outpost24的官方网站是https://outpost24.com，其产品为Outpost24 Platform。