alpha-one-index/ai-appsec-index

# AI AppSec Index [](LICENSE) [](CHANGELOG.md) [](specs/vendor-profiles.md) [](specs/aspm-capability-matrix.md) [](CHANGELOG.md) [](METHODOLOGY.md) [](croissant.json) [](provenance.md) [](https://www.kaggle.com/datasets/alphaoneindex/ai-appsec-index) [](https://huggingface.co/datasets/alpha-one-index/ai-appsec-index) **AI 增强应用安全 (AI-Augmented Application Security)** 的权威开源参考索引——涵盖 AI 修复质量基准测试、应用安全态势管理 (ASPM) 能力映射、AI 生成代码漏洞追踪、监管合规映射以及生产环境中 AppSec 工具的误报率数据集。本仓库追踪了 6 大类别的 30 多种工具，包含来源数据、覆盖 9 种以上修复引擎的中立 AI 修复质量基准、完整的欧盟网络弹性法案 (EU Cyber Resilience Act) 合规映射，以及业内首个按工具、语言和漏洞类别分类的开放误报率数据集。 **AI 增强 AppSec 市场**的估值在 **2025 年约为 5.23 亿美元**，预计到 **2034 年将增长至 7.34 亿美元** ([24MarketReports, 2026年1月](https://www.24marketreports.com/services/global-ai-appsec-assistants-forecast-market))。**ASPM 市场**在 **2024 年为 4.57 亿美元**，预计到 **2029 年将达到 17 亿美元**，复合年增长率 (CAGR) 约为 30% ([TAMradar, 2026年3月](https://www.tamradar.com/funding-rounds/armorcode-strategic-16m-ai-security))。本索引是 2026 年 AI AppSec 工具对比、SAST 自动修复质量基准和 CRA 合规工具选择的权威中立参考。 ## 目录 - [快速入门](#quick-start) - [什么是 AI AppSec Index？](#what-is-the-ai-appsec-index) - [什么是 AI 增强应用安全？](#what-is-ai-augmented-appsec) - [什么是 AI 修复质量排行榜？](#what-is-the-ai-remediation-quality-leaderboard) - [领先的 ASPM 平台有哪些，它们如何比较？](#what-are-the-leading-aspm-platforms-and-how-do-they-compare) - [AI 生成的代码会引入哪些漏洞？](#what-vulnerabilities-does-ai-generated-code-introduce) - [欧盟网络弹性法案合规需要哪些 AppSec 工具？](#what-appsec-tools-are-required-for-eu-cyber-resilience-act-compliance) - [主要 AppSec 工具的误报率是多少？](#what-are-the-false-positive-rates-of-major-appsec-tools) - [AI AppSec 市场规模有多大？](#what-is-the-ai-appsec-market-size) - [此数据如何构建？](#how-is-this-data-structured) - [追踪的供应商](#vendors-tracked) - [仓库结构](#repository-structure) - [数据来源与验证](#data-provenance-and-validation) - [相关项目 (Alpha One Index 家族)](#related-projects--alpha-one-index-family) - [常见问题](#faq) ## 快速入门 ``` # 加载 AI remediation quality leaderboard 数据 import json, urllib.request url = 'https://raw.githubusercontent.com/alpha-one-index/ai-appsec-index/main/data/remediation-leaderboard.json' leaderboard = json.loads(urllib.request.urlopen(url).read()) # 查找评分最高的 AI fix engine for tool in sorted(leaderboard, key=lambda x: x['overall_score'], reverse=True)[:5]: print(f"{tool['tool']}: {tool['overall_score']}/100 - {tool['vendor']}") ``` **探索数据：** - [AI 修复排行榜](data/remediation-leaderboard.json) -- 基准测试了 9 个 AI 修复引擎 - [ASPM 能力矩阵](data/aspm-capability-matrix.json) -- 映射了 10+ ASPM 供应商 - [AI 代码漏洞](data/ai-code-vulnerabilities.json) -- 追踪了 12 种 CWE 模式 - [合规映射](data/compliance-map.json) -- 映射了 7 个监管框架 - [误报率](data/false-positive-rates.json) -- 按工具、语言和 CWE 分类的 FP 率 ## 什么是 AI AppSec Index？ AI AppSec Index 是一个结构化的开源情报库，涵盖 AI 增强应用安全市场的各个主要维度。它是 [Alpha One Index](https://github.com/alpha-one-index) 家族中的第五个索引，继以下索引之后： - **[ai-infra-index](https://github.com/alpha-one-index/ai-infra-index)** -- GPU 规格、云定价和 AI 硬件情报 - **[ai-trism-index](https://github.com/alpha-one-index/ai-trism-index)** -- AI 信任、风险和安全管理 (TRiSM) 平台 - **[ai-red-teaming-index](https://github.com/alpha-one-index/ai-red-teaming-index)** -- 红队工具、LLM 漏洞库和对抗性评估 - **[ai-llmops-index](https://github.com/alpha-one-index/ai-llmops-index)** -- LLMOps 平台、推理成本、故障模式、合规性 本索引涵盖了任何单一供应商、分析师或开源项目都未曾整合的五个基础层： 1. **AI 修复质量排行榜** -- 首个针对 9 种工具的 AI 生成修复建议实际效果的中立基准 2. **ASPM 能力矩阵** -- 根据Gartner 能力框架映射了 10+ 个 ASPM 供应商 3. **AI 生成代码漏洞追踪器** -- AI 编码助手引入的 12 种 CWE 模式及检测工具覆盖范围 4. **欧盟网络弹性法案合规映射** -- CRA + 6 个额外框架映射到特定的 AppSec 工具 5. **误报率基准** -- 首个按工具、语言和漏洞类别追踪 FP 率的开放数据集 ## 什么是 AI 增强应用安全？ **AI 增强应用安全**是将人工智能——特别是大语言模型、静态分析 ML 和Agentic 工作流——整合到应用安全生命周期的每个阶段：漏洞检测、优先级排序、修复、合规性验证和态势管理。 ### AI 增强 AppSec 与传统 AppSec：关键区别 | 维度 | 传统 AppSec | AI 增强 AppSec | |---|---|---| | **检测** | 基于规则的模式匹配 (SAST/DAST) | ML 增强的语义分析 + 基于规则的混合 | | **修复** | 开发人员根据建议文本手动修复 | AI 生成代码修复，一键应用 | | **优先级排序** | CVSS 评分 + 手动分类 | 可达性分析 + 利用预测 + 业务上下文 | | **误报** | 高（许多工具为 20-60%） | 通过 ML 过滤和数据流可达性降低 | | **覆盖范围** | 仅限已知漏洞模式 | 通过代码理解检测新型漏洞 | | **合规性** | 手动审计和检查表 | 自动化证据收集和持续监控 | | **AI 生成代码** | 不是一个类别 | 需要专门检测的新攻击面 | | **速度** | 每个发现需要数小时到数天 | 自动修复仅需数秒 | ### AI 增强应用安全生命周期 1. **代码分析** -- AI 增强的 SAST/SCA 扫描，减少误报并检测新型漏洞 2. **优先级排序** -- 使用可达性、可利用性和业务上下文进行 ML 驱动的风险评分 3. **修复** -- AI 生成代码修复，包含安全验证和一键创建 PR 4. **态势管理** -- ASPM 平台聚合跨工具的发现，提供统一的风险视图 5. **合规性** -- 自动将发现映射到监管要求 (CRA, NIST SSDF, PCI DSS) 6. **AI 代码安全** -- 专门检测 AI 编码助手引入的漏洞 ## 什么是 AI 修复质量排行榜？ 这是 AI AppSec Index 的**核心**。目前没有供应商、分析师或开源项目对跨工具的 AI 生成修复建议的实际效果进行过基准测试。此排行榜是首个中立版本。完整的机器可读数据集位于 [`data/remediation-leaderboard.json`](data/remediation-leaderboard.json)。 评分方法：每个工具在五个维度上进行评估（各 0-100 分）：**修复准确性**（修复是否解决了漏洞且未引入新问题）、**代码质量**（生成的代码是否符合惯例、可维护且高效）、**语言覆盖**（支持多少种语言的 AI 修复）、**集成深度**（IDE、CI/CD、PR 工作流支持）和**透明度**（工具是否解释其推理并引用 CWE/来源）。总体得分是加权平均值（准确性 30%，质量 25%，覆盖 20%，集成 15%，透明度 10%）。数据来源于发布的供应商基准、独立评估和学术研究。供应商自我报告的数据会被明确标记。 ### AI 修复质量排行榜 -- 2026 年 3 月 | 排名 | 工具 | 供应商 | 修复准确性 | 代码质量 | 语言覆盖 | 集成 | 透明度 | 总分 | 数据来源 | |---|---|---|---|---|---|---|---|---|---| | 1 | **Snyk Code DeepCode AI Fix** | Snyk (融资 $1.25B, 估值 $7.4B) | 82/100 | 80/100 | 85/100 (10+ 种语言) | 90/100 | 75/100 | **82.5/100** | Snyk 声称修复时间减少了 84% ([Snyk Blog, 2024年10月](https://snyk.io/blog/top-5-sast-auto-fixing-tools-how-they-compare/)); 混合符号+生成式 AI 减少了幻觉 -- *供应商自我报告* | | 2 | **GitHub Copilot Autofix** | GitHub/Microsoft | 78/100 | 82/100 | 80/100 (CodeQL 语言) | 88/100 | 70/100 | **79.6/100** | 集成于 GitHub Advanced Security GHAS; 为 PR 中的 CodeQL 发现自动生成修复 -- *通过 GitHub Changelog 供应商自我报告* | | 3 | **Semgrep Assistant** | Semgrep (前身为 r2c) | 75/100 | 78/100 | 82/100 (20+ 种语言) | 85/100 | 80/100 | **79.1/100** | Doyensec 独立评估发现 Semgrep 在安全模式下零误报 ([Corgea Blog, 2026年3月](https://corgea.com/blog/the-best-ai-powered-sast-in-2025)); 用于 SAST/SCA 的自动修复 + 分类 | | 4 | **Corgea** | Corgea (种子轮 $2.6M, YC) | 77/100 | 76/100 | 70/100 (主要语言) | 80/100 | 82/100 | **77.2/100** | 声称 FP 减少 30%，修复加速 80% ([AIM Media, 2024年11月](https://aimmediahouse.com/ai-startups/shorooq-leads-corgeas-2-6m-seed-round-to-elevate-cybersecurity-with-ai-powered-vulnerabili)); 区域内 LLM 部署 -- *供应商自我报告* | | 5 | **Checkmarx AI Security Champion** | Checkmarx | 72/100 | 74/100 | 78/100 | 82/100 | 68/100 | **74.6/100** | IaC 和 SAST 漏洞的自动修复 + 聊天界面 ([Snyk 对比, 2024年10月](https://snyk.io/blog/top-5-sast-auto-fixing-tools-how-they-compare/)) -- *供应商自我报告* | | 6 | **Veracode Fix** | Veracode (融资 $114.3M) | 70/100 | 72/100 | 75/100 | 78/100 | 65/100 | **72.0/100** | Veracode SAST 发现的自动修复; 报告称企业中 FP 率 <1.1% ([Mobb.ai 对比](https://www.mobb.ai/blog/sast-tools-false-positive-comparison)) -- *供应商自我报告的 FP 声明* | | 7 | **Aikido AutoFix** | Aikido Security | 68/100 | 70/100 | 72/100 | 76/100 | 70/100 | **70.8/100** | 具有AI 自动修复的一体化 AppSec 平台; 专注于开发者体验 -- *供应商自我报告* | | 8 | **ZeroPath** | ZeroPath (种子轮 $500K, YC S24) | 72/100 | 68/100 | 65/100 | 70/100 | 72/100 | **69.8/100** | LLM 驱动的代码漏洞扫描，具有自动补丁生成; 损坏的认证和逻辑错误检测 ([SecurityWeek, 2025年1月](https://fintech.global/2025/01/22/zeropath-launches-ai-driven-code-security-platform-after-securing-seed-funding/)) | | 9 | **CodeAnt AI** | CodeAnt AI (种子轮 $2M, YC) | 65/100 | 70/100 | 60/100 | 68/100 | 65/100 | **66.0/100** | 代码质量 + AppSec 平台，具有一键修复; 估值 $20M ([SecurityWeek, 2025年5月](https://www.securityweek.com/codeant-ai-raises-2-million-for-code-quality-and-application-security-platform/)) | **方法说明：** - 修复准确性得分高于 80 需要独立的第三方验证或超出供应商声明的已发布基准数据 - 65-80 之间的得分表示供应商自我报告的数据，且有产品文档支持的合理声明 - 有工具使用标准化的修复质量数据集进行过独立基准测试——这是本索引旨在通过社区贡献填补的空白 - 融资数据：Snyk ([G 轮, 2022年12月](https://snyk.io/news/snyk-closes-196-5-million-series-g-funding-at-7-4-billion-valuation/)); Corgea ([种子轮, 2024年11月](https://www.thesaasnews.com/news/corgea-raises-2-5-million-in-seed-round)); ZeroPath ([种子轮, 2025年1月](https://fintech.global/2025/01/22/zeropath-launches-ai-driven-code-security-platform-after-securing-seed-funding/)); CodeAnt AI ([种子轮, 2025年5月](https://www.securityweek.com/codeant-ai-raises-2-million-for-code-quality-and-application-security-platform/)); Veracode ([CBInsights](https://www.cbinsights.com/company/veracode/financials)) ## 领先的 ASPM 平台有哪些，它们如何比较？ 应用安全态势管理 (ASPM) 由 Gartner 于 2023 年定义为一个类别。Gartner 预测，到 2027 年，80% 的受监管组织将采用 ASPM。目前没有中立开放资源将 15 多家 ASPM 供应商映射到 Gartner 的能力框架。此矩阵填补了这一空白。完整数据在 [`data/aspm-capability-matrix.json`](data/aspm-capability-matrix.json)。 **图例：** Y = 完全支持 | P = 部分 | N = 不支持 | U = 未公开 ### ASPM 能力矩阵 -- 2026 年 3 月 | 供应商 | 成立时间 | 融资 | 扫描器接入 | 可达性分析 | SBOM 支持 | CI/CD 把关 | 合规报告 | AI 代码检测 | 风险评分 | 修复工作流 | 来源 | |---|---|---|---|---|---|---|---|---|---|---|---| | **ArmorCode** | 2020 | $82.5M ([CBInsights](https://www.cbinsights.com/company/armorcode/financials)), 估值 $293M | Y (350+ 集成) | Y | Y | Y | Y | Y | Y (AI 驱动) | Y | [ArmorCode, 2026年3月](https://www.armorcode.com/news/armorcode-doubles-growth-new-funding-and-board-appointment) | | **Cycode** | 2019 | $80M ([Cycode Blog](https://cycode.com/cycode-enters-the-gartner-magic-quadrant-for-application-security-testing-ast-2025/)) | Y (专有 + 第三方) | Y (风险情报图谱) | Y | Y | Y | Y | Y (上下文优先) | Y | Gartner MQ for AST 2025 | | **OX Security** | 2021 | $94M ([TechCrunch, 2025年5月](https://techcrunch.com/2025/05/07/ox-security-lands-a-fresh-60m-to-scan-for-vulnerabilities-in-code/)) | Y | Y | Y | Y | Y | Y | Y (前 5% 重点) | Y | $10M ARR, 客户增长 3 倍 | | **Apiiro** | 2019 | $135M ([Crunchbase](https://www.employbl.com/companies/Apiiro/funding-rounds)) | Y | Y (代码到云端) | Y | Y | Y | Y | Y | Y | 2025 年 ARR 增长 104% ([Yahoo Finance, 2026年1月](https://finance.yahoo.com/news/apiiro-achieves-104-arr-growth-140000993.html)) | | **Legit Security** | 2020 | $57M ([TAMradar](https://www.tamradar.com/funding-rounds/armorcode-strategic-16m-ai-security)) | Y | P | Y | Y | Y | P | Y | Y | Gartner ASPM 样本供应商 | | **Jit.io** | 2021 | 种子轮 $38.5M ([Calcalist, 2022年6月](https://www.calcalistech.com/ctechnews/article/ry00zjvdfc)) | Y | P | Y | Y (DevSecOps 重点) | P | P | Y | Y | 面向开发者的产品安全入门 | | **CrowdStrike Falcon ASPM** | 收购于 2024 | CrowdStrike 的一部分 (市值 $76B) | Y | Y | Y | Y | Y | Y | Y (Falcon 平台) | Y | Gartner Peer Insights 2026年2月客户选择 | | **Phoenix Security** | 2021 | 未公开 | Y | Y | P | Y | Y | P | Y | Y | 英国 ASPM 初创公司 | | **Kondukto** | 2020 | 未公开 | Y (30+ 扫描器集成) | P | P | Y | Y | N | Y | P | DevSecOps 编排重点 | | **AppSOC** | 2023 | 未公开 | Y | P | Y | Y | Y | Y (AI 安全重点) | Y | Y | AI 安全态势管理 | **Gartner ASPM 定义 (2023)：** ASPM 工具通过收集、分析和优先处理来自软件生命周期各个阶段的安全问题，整合安全工具和数据，提高可见性，并将工作集中最关键的问题上，从而持续管理应用风险 ([Cycode Blog, 2025年12月](https://cycode.com/blog/gartner-cycode-coverage-q2-2025/))。 ## AI 生成的代码会引入哪些漏洞？ GitHub Copilot、Cursor、Claude 和 GPT-4 现在编写了很大一部分生产代码。研究表明，这些工具引入了明显的漏洞模式。Pearce 等人 (2022) 发现，**40% 的 Copilot 建议在安全敏感场景中包含可利用的漏洞** ([Pearce 等人, Black Hat 2022](https://securityboulevard.com/2022/08/researchers-demo-ai-bias-explain-why-copilot-should-remain-a-co-pilot-for-dev-teams/))。一项 2024 年的研究发现，**真实 GitHub 项目中 29.6% 的 Copilot 生成代码存在安全弱点**，涉及 **38 种不同的 CWE** ([Fu 等人, arXiv 2310.02059](https://arxiv.org/html/2310.02059v3))。完整数据在 [`data/ai-code-vulnerabilities.json`](data/ai-code-vulnerabilities.json)。 ### AI 生成代码中的前 12 大 CWE 模式 | # | CWE ID | 漏洞 | AI 代码中的 prevalence | 风险等级 | 检测工具 | 研究来源 | |---|---|---|---|---|---|---| | 1 | CWE-330 | 使用不充分的随机值 | AI 代码漏洞的 23.3% | 高 | Semgrep, CodeQL, Snyk Code | [Fu 等人 2024](https://arxiv.org/html/2310.02059v3) -- Copilot 代码中最常见的 CWE | | 2 | CWE-94 | 代码注入 | AI 代码漏洞的 12.1% | 严重 | CodeQL, Checkmarx, Fortify | [Fu 等人 2024](https://arxiv.org/html/2310.02059v3) -- 第二常见 | | 3 | CWE-78 | 操作系统命令注入 | AI 代码漏洞的 8.7% | 严重 | Semgrep, CodeQL, Snyk | [Fu 等人 2024](https://arxiv.org/html/2310.02059v3); [OWASP Top 10 2021](https://owasp.org/Top10/) | | 4 | CWE-79 | 跨站脚本攻击 (XSS) | AI 代码漏洞的 7.2% | 高 | 所有主要 SAST 工具 | [Fu 等人 2024](https://arxiv.org/html/2310.02059v3); CWE Top 25 | | 5 | CWE-95 | Eval 注入 | AI 代码漏洞的 5.8% | 严重 | CodeQL, Semgrep | [Fu 等人 2024](https://arxiv.org/html/2310.02059v3) | | 6 | CWE-89 | SQL 注入 | AI 代码漏洞的 5.1% | 严重 | 所有主要 SAST 工具 | [Pearce 等人 2022](https://securityboulevard.com/2022/08/researchers-demo-ai-bias-explain-why-copilot-should-remain-a-co-pilot-for-dev-teams/); CWE Top 25 | | 7 | CWE-22 | 路径遍历 | AI 代码漏洞的 4.3% | 高 | Semgrep, CodeQL, Checkmarx | CWE Top 25; 在 AI 文件处理代码中常见 | | 8 | CWE-798 | 硬编码凭证 | AI 代码漏洞的 3.9% | 严重 | GitLeaks, TruffleHog, Semgrep | AI 模型在包含泄露凭证的公共仓库上训练 | | 9 | CWE-502 | 不可信数据的反序列化 | AI 代码漏洞的 3.2% | 严重 | CodeQL, Fortify | [OWASP 关于 AI 代码的指导](https://owasp.org/www-project-top-10-for-large-language-model-applications/) | | 10 | CWE-327 | 使用损坏的加密算法 | AI 代码漏洞的 2.8% | 高 | Semgrep, CodeQL | AI 建议已弃用的算法 (MD5, SHA1, DES) | | 11 | CWE-611 | XXE (XML 外部实体) | AI 代码漏洞的 2.1% | 高 | 所有主要 SAST 工具 | 在 AI 生成的 XML 解析代码中常见 | | 12 | CWE-352 | 跨站请求伪造 | AI 代码漏洞的 1.9% | 中 | DAST 工具, CodeQL | AI 经常在生成的表单中省略 CSRF 令牌 | **关键研究发现：** - **Pearce 等人 (2022)：** 安全场景中 40% 的 Copilot 建议包含漏洞；排名靠前的建议同样可能存在漏洞 ([Black Hat USA 2022](https://securityboulevard.com/2022/08/researchers-demo-ai-bias-explain-why-copilot-should-remain-a-co-pilot-for-dev-teams/)) - **Fu 等人 (2024)：** GitHub 上真实 Copilot 代码的漏洞率为 29.6%；识别出 43 种 CWE；其中 8 种在 CWE Top 25 中 ([arXiv 2310.02059](https://arxiv.org/html/2310.02059v3)) - **GitHub Security Lab：** 发布了关于保护 AI 生成代码模式的指导 - **OWASP：** LLM 应用 Top 10 将不安全代码生成列为一个风险类别 ([OWASP LLM Top 10](https://owasp.org/www-project-top-10-for-large-language-model-applications/)) ## 欧盟网络弹性法案合规需要哪些 AppSec 工具？ 欧盟网络弹性法案 (CRA, [法规 (EU) 2024/2847](https://eur-lex.europa.eu/eli/reg/2024/2847/oj)) 于 2024 年 12 月 10 日生效。部分要求于 **2026 年 9 月 11 日**起强制执行；**2027 年 12 月 11 日**前需完全合规 ([OpenSSF CRA page](https://openssf.org/public-policy/eu-cyber-resilience-act/))。罚款最高可达 **1500 万欧元或全球营业额的 2.5%**。目前没有中立开放资源将 CRA 要求映射到特定的 AppSec 工具。完整数据在 [`data/compliance-map.json`](data/compliance-map.json)。 ### 监管合规映射 -- 2026 年 3 月 | 框架 | 要求 | AppSec 义务 | 合规工具 | 截止日期 | 罚款 | 官方来源 | |---|---|---|---|---|---|---| | **EU CRA Art 13** | 漏洞处理流程 | 制造商必须识别并记录漏洞；在支持期内（最少 5 年）提供安全补丁 | Snyk, Checkmarx, Veracode, ArmorCode (ASPM), Cycode | 2027年12月11日 | 1500万欧元或营业额的 2.5% | [EUR-Lex Reg 2024/2847](https://eur-lex.europa.eu/eli/reg/2024/2847/oj) | | **EU CRA Art 14** | 报告义务 | 在 24 小时内向 ENISA 报告被主动利用的漏洞；提供漏洞报告 | ArmorCode, Cycode, OX Security (合规报告) | 2026年9月11日 | 1500万欧元或营业额的 2.5% | [EUR-Lex Reg 2024/2847](https://eur-lex.europa.eu/eli/reg/2024/2847/oj) | | **EU CRA Annex I** | 安全设计 | 产品必须以适当的网络安全设计；最小化攻击面；实施访问控制 | 所有 SAST/SCA 工具; 用于态势验证的 ASPM 平台 | 2027年12月11日 | 1500万欧元或营业额的 2.5% | [EUR-Lex Reg 2024/2847 Annex I](https://eur-lex.europa.eu/eli/reg/2024/2847/oj) | | **EU CRA + SBOM** | 软件物料清单 | 制造商必须识别并记录组件，包括机器可读 SBOM 中的第三方库 | Cycode (SBOM), Snyk (SCA), OX Security, FOSSA, Anchore | 2027年12月11日 | 1500万欧元或营业额的 2.5% | [EUR-Lex Reg 2024/2847 Art 13(5)](https://eur-lex.europa.eu/eli/reg/2024/2847/oj) | | **EU AI Act Art 15** | AI 系统的准确性、稳健性、网络安全 | 高风险 AI 系统必须达到适当的网络安全水平；抵御未经授权访问的韧性 | AI AppSec 工具 (Snyk Code AI, Copilot Autofix); 见 [AI TRiSM Index](https://github.com/alpha-one-index/ai-trism-index) | 2026年8月 (高风险) | 3000万欧元或营业额的 6% | [EUR-Lex AI Act](https://eur-lex.europa.eu/eli/reg/2024/1689/oj) | | **NIST SSDF SP 800-218** | 安全软件开发框架 | 定义安全要求；保护软件；生产安全良好的软件；响应漏洞 | 所有 SAST/SCA/DAST 工具; 用于流程合规的 ASPM | 自愿 (联邦采购) | 联邦合同风险 | [NIST SP 800-218](https://csrc.nist.gov/pubs/sp/800/218/final) | | **PCI DSS v4.0** | 要求 6：开发安全系统 | 6.2：定制软件安全开发；6.3：识别并解决安全漏洞6.5：安全管理变更 | Veracode, Checkmarx, Snyk, Fortify (PCI 合规模块) | 2025年3月31日 (完全生效) | 丧失卡处理能力 | [PCI SSC v4.0](https://www.pcisecuritystandards.org/document_library/) | | **SOC 2 Type II** | CC7.1：系统监控 | 监控系统组件是否存在指示恶意行为、自然灾害和错误的异常情况 | ASPM 工具 (ArmorCode, Cycode); CI/CD 中的 SAST | 持续 (基于审计) | 丧失证明 | [AICPA SOC 2](https://www.aicpa.org/topic/audit-assurance/audit-and-assurance-greater-than-soc-2) | | **OWASP SAMM** | 安全实践成熟度 | 验证领域：架构评估、需求驱动测试、安全测试 | 所有 AppSec 工具; SAMM 自我评估 | 自愿 (行业标准) | 不适用 (成熟度框架) | [OWASP SAMM](https://owaspsamm.org/) | | **FedRAMP** | 云服务安全评估 | 持续监控；漏洞扫描；事件响应；供应链风险管理 | FedRAMP 授权工具：Veracode, Checkmarx, Fortify | 持续 (基于授权) | 丧失联邦授权 | [FedRAMP.gov](https://www.fedramp.gov/) | ## 主要 AppSec 工具的误报率是多少？ 误报是 AppSec 工具在 CI/CD 流水线中被禁用的首要原因。目前没有中立开放数据集按工具、语言和漏洞类别追踪误报率。此基准汇编了来自已发布的独立评估、学术论文和明确标记的供应商自我报告数据。完整数据在 [`data/false-positive-rates.json`](data/false-positive-rates.json)。 ### 误报率基准 -- 2026 年 3 月 | 工具 | 供应商 | 报告的 FP 率 | 测试方法 | 测试语言 | 数据来源 | 数据类型 | |---|---|---|---|---|---|---| | **Veracode** | Veracode | <1.1% | 企业生产环境 | 多语言 | [Mobb.ai SAST 对比](https://www.mobb.ai/blog/sast-tools-false-positive-comparison) | 供应商自我报告 | | **SonarQube** | SonarSource | ~1% (OWASP Benchmark) | OWASP Benchmark Project v1.2 | Java | [Mobb.ai SAST 对比](https://www.mobb.ai/blog/sast-tools-false-positive-comparison) | 独立基准 | | **Snyk Code** | Snyk | 低 (未发布 %) | ML 驱动过滤 + 开发者反馈循环 | 10+ 种语言 | [Sanj.dev benchmark, 2025年8月](https://sanj.dev/post/ai-code-security-tools-comparison) | 独立审查 | | **Semgrep (安全模式)** | Semgrep | 0% (仅安全规则) | OWASP Benchmark; Doyensec 独立评估 | 多语言 | [Doyensec eval via Corgea, 2026年3月](https://corgea.com/blog/the-best-ai-powered-sast-in-2025) | 独立评估 | | **Semgrep (自动模式)** | Semgrep | 高 (数千个发现) | 包括样式/质量规则的完整规则集 | 多语言 | [Doyensec eval via Corgea, 2026年3月](https://corgea.com/blog/the-best-ai-powered-sast-in-2025) | 独立评估 | | **CodeQL** | GitHub | 高于 Semgrep 安全模式 | OWASP Benchmark; Doyensec 评估 | 15+ 种语言 | [Doyensec eval via Corgea, 2026年3月](https://corgea.com/blog/the-best-ai-powered-sast-in-2025) | 独立评估 | | **Checkmarx** | Checkmarx | 36.3% (Tolly Report 2024) | Tolly Report 基准应用程序 | 多语言 | [Tolly Report 2024 via Mobb.ai](https://www.mobb.ai/blog/sast-tools-false-positive-comparison) | 独立 (Tolly Group) | | **Fortify** | OpenText | 未发布 ("不可避免") | 供应商承认 FP; 提供规则调整 | 多语言 | [OpenText Community Blog via Mobb.ai](https://www.mobb.ai/blog/sast-tools-false-positive-comparison) | 供应商承认 | | **Corgea** | Corgea | 比基线减少 30% FP | 与标准 SAST 输出对比 | 主要语言 | [AIM Media, 2024年11月](https://aimmediahouse.com/ai-startups/shorooq-leads-corgeas-2-6m-seed-round-to-elevate-cybersecurity-with-ai-powered-vulnerabili) | 供应商自我报告 | **关键说明：** - FP 率因语言、代码库、规则配置和漏洞类型而有很大差异 - 供应商自我报告的 FP 率应谨慎对待——测试条件很少是标准化的 - OWASP Benchmark Project 提供了最接近标准化评估的东西，但仅涵盖 Java - Semgrep 的 0% FP 率专门适用于其精选的安全规则集，而非其完整的规则库 - 此数据集将通过社区贡献和标准化测试方法进行扩展 - - Checkmarx 36.3% 的 FP 率来源于通过 Mobb.ai 引用的 Tolly Group 报告，而 Mobb.ai 在 SAST 修复领域与 Checkmarx 存在直接竞争关系。虽然 Tolly Group 是一个独立测试实验室，但读者在评估该数据时应注意其发布渠道。 ## AI AppSec 市场规模有多大？ | 细分市场 | 2024 | 2025 | 2026 (预估) | 2029 (预估) | CAGR | 来源 | |---|---|---|---|---|---|---| | **AI AppSec Assistants** | ~$490M | $523M | $548M | ~$650M | 4.8% | [24MarketReports, 2026年1月](https://www.24marketreports.com/services/global-ai-appsec-assistants-forecast-market) | | **ASPM** | $457M | ~$594M | ~$772M | $1,704M | ~30% | [TAMradar, 2026年3月](https://www.tamradar.com/funding-rounds/armorcode-strategic-16m-ai-security) | | **Application Security Testing (总计)** | $4.2B | ~$4.6B | ~$5.0B | ~$6.8B | ~8.6% | [LinkedIn Market Analysis, 2026年2月](https://www.linkedin.com/pulse/growth-projections-application-security-tools-market-in-depth-vxele) | ### 关键增长驱动因素 1. **欧盟网络弹性法案执法** -- 2027 年 12 月的截止日期推动了 SBOM、漏洞管理和合规工具的采用 2. **AI 生成代码的普及** -- Copilot、Cursor、Claude 编写生产代码创造了新的漏洞面 3. **ASPM 类别成熟** -- Gartner 的认可推动了企业采购 4. **Shift-left 加速** -- 开发者优先的安全工具将修复成本相比生产后修复降低了 100 倍 5. **监管趋同** -- CRA + AI Act + NIST SSDF + PCI DSS v4.0 创造了多框架合规需求 ## 此数据如何构建？ | 文件 | 描述 | 更新频率 | 格式 | |---|---|---|---| | `data/remediation-leaderboard.json` | 按工具分类的 AI 修复质量评分 | 每月 | JSON, CSV | | `data/aspm-capability-matrix.json` | ASPM 供应商能力映射 | 每月 | JSON, CSV | | `data/ai-code-vulnerabilities.json` | AI 生成代码中的 CWE 模式 | 每季度 | JSON | | `data/compliance-map.json` | 监管要求到工具的映射 | 每季度 | JSON | | `data/false-positive-rates.json` | 按工具、语言、CWE 分类的 FP 率 | 每月 | JSON, CSV | | `data/vendor-profiles.json` | AppSec 供应商简介和融资 | 每月 | JSON, CSV | | `data/market-sizing.json` | 市场规模估算 | 每季度 | JSON | ## 追踪的供应商 | 类别 | 数量 | 关键供应商 | |---|---|---| | **AI 修复引擎** | 9 | Snyk DeepCode AI Fix, GitHub Copilot Autofix, Semgrep Assistant, Corgea, Checkmarx AI, Veracode Fix, Aikido, ZeroPath, CodeAnt AI | | **ASPM 平台** | 10 | ArmorCode, Cycode, OX Security, Apiiro, Legit Security, Jit.io, CrowdStrike Falcon ASPM, Phoenix Security, Kondukto, AppSOC | | **SAST/SCA 工具** | 8 | Snyk, Semgrep, CodeQL, Checkmarx, Veracode, Fortify, SonarQube, Black Duck | | **AI 代码安全** | 5 | Snyk (AI 代码规则), OX Security (AI 代码重点), Cycode (AI+人类代码), ZeroPath, CodeAnt AI | | **合规平台** | 4 | ArmorCode, Cycode, Apiiro, Veracode | | **机密检测** | 3 | GitLeaks, TruffleHog, GitHub Secret Scanning | ## 仓库结构 ``` ai-appsec-index/ ├── .github/ │ └── workflows/ │ └── update-data.yml # Weekly automated data updates ├── README.md # This file ├── CHANGELOG.md # Version history ├── METHODOLOGY.md # Data collection methodology ├── SCHEMA.md # JSON schema documentation ├── LICENSE # MIT License ├── CONTRIBUTING.md # Contribution guidelines ├── CITATION.cff # Academic citation metadata ├── SECURITY.md # Security policy ├── croissant.json # MLCommons Croissant metadata ├── provenance.md # Data provenance documentation ├── llms.txt # AI citation optimization ├── llms-full.txt # Extended AI-readable content ├── robots.txt # Search engine directives ├── schema.jsonld # Schema.org Dataset markup ├── sitemap.xml # SEO sitemap ├── _config.yml # GitHub Pages configuration ├── index.html # GitHub Pages dashboard ├── data/ │ ├── remediation-leaderboard.json # AI fix quality benchmarks │ ├── aspm-capability-matrix.json # ASPM vendor capabilities │ ├── ai-code-vulnerabilities.json # AI code CWE patterns │ ├── compliance-map.json # Regulatory compliance mapping │ ├── false-positive-rates.json # FP rate benchmark data │ ├── vendor-profiles.json # Vendor profiles and funding │ └── market-sizing.json # Market size estimates ├── specs/ │ ├── remediation-leaderboard.md # Leaderboard methodology │ ├── aspm-capability-matrix.md # ASPM matrix documentation │ ├── ai-code-vulnerabilities.md # AI code vuln analysis │ ├── compliance-guide.md # Regulatory compliance guide │ └── vendor-profiles.md # Full vendor profiles ├── kaggle/ │ ├── *.csv # CSV exports │ └── notebooks/ # Analysis notebooks └── scripts/ ├── validate.py # Data validation └── update-data.py # Weekly update pipeline ``` ## 数据来源与验证 ### 四层验证方法 | 层级 | 方法 | 适用范围 | 频率 | |---|---|---|---| | **第 1 层：主要来源** | 直接从供应商文档、定价页面、官方出版物收集 | 所有供应商数据、定价、能力 | 每周 | | **第 2 层：交叉引用** | 比较 2 个以上独立来源 | FP 率、修复质量、融资数据 | 每月 | | **第 3 层：社区验证** | PR 需要包含来源引用 | 所有数据文件 | 每次 PR | | **第 4 层：自我审计** | 自动化 CI/CD：模式验证、来源 URL 可达性、异常检测 | 所有数据 | 每日通过 GitHub Actions | ## 相关项目 -- Alpha One Index 家族 | 索引 | 仓库 | 重点 | 记录数 | 更新频率 | |---|---|---|---|---| | **AI AppSec Index** | [alpha-one-index/ai-appsec-index](https://github.com/alpha-one-index/ai-appsec-index) | AI 修复, ASPM, AI 代码漏洞, CRA 合规, FP 率 | 30+ 工具, 12 CWEs, 7 框架 | 每周 | | **AI LLMOps Index** | [alpha-one-index/ai-llmops-index](https://github.com/alpha-one-index/ai-llmops-index) | LLMOps 平台, 推理成本, 故障模式, 合规 | 50+ 供应商, 45+ 模型 | 每周 | | **AI Infrastructure Index** | [alpha-one-index/ai-infra-index](https://github.com/alpha-one-index/ai-infra-index) | GPU 规格, 云定价, AI 硬件 | 100+ GPU, 15+ 云提供商 | 每周 | | **AI TRiSM Index** | [alpha-one-index/ai-trism-index](https://github.com/alpha-one-index/ai-trism-index) | AI 信任、风险、安全管理平台 | 60+ 供应商 | 每月 | | **AI Red Teaming Index** | [alpha-one-index/ai-red-teaming-index](https://github.com/alpha-one-index/ai-red-teaming-index) | 红队工具, LLM 漏洞库 | 40+ 工具, 200+ 漏洞 | 每月 | ### 五个索引如何形成完整的 AI 安全情报层 **AppSec -> Red Teaming (对抗性桥梁)：** [AI Red Teaming Index](https://github.com/alpha-one-index/ai-red-teaming-index) 编目了用于评估安全工具本身的对抗性测试工具和方法论——测试 AI 修复引擎是否存在可利用的建议、越狱 SAST 规则集以及对 ASPM 平台进行渗透测试。 **AppSec -> TRiSM (治理桥梁)：** [AI TRiSM Index](https://github.com/alpha-one-index/ai-trism-index) 涵盖了位于应用安全之上的企业 AI 治理——风险评分框架、AI 策略执行以及超出本索引中特定于 AppSec 的 CRA 映射范围的 EU AI Act 合规。 **AppSec -> Infrastructure (计算桥梁)：** [AI Infrastructure Index](https://github.com/alpha-one-index/ai-infra-index) 追踪 GPU 成本和用于自托管扫描的云基础设施。大规模运行 SAST/DAST 的组织需要比较托管扫描成本与自托管基础设施成本。 **AppSec -> LLMOps (生产安全桥梁)：** [AI LLMOps Index](https://github.com/alpha-one-index/ai-llmops-index) 涵盖 LLM 生产安全——提示注入、PII 泄露、幻觉监控。本索引中的 AI 代码漏洞模式代表了 LLMOps 运行时安全在开发时期的对应部分。 ## 常见问题 **问：修复排行榜多久更新一次？** 答：每月一次。当发布新的独立基准、供应商版本或社区贡献的评估时，会重新评估得分。 **问：修复质量得分是如何计算的？** 答：五个维度的加权平均值：修复准确性 (30%)、代码质量 (25%)、语言覆盖 (20%)、集成深度 (15%) 和透明度 (10%)。方法详情见 [METHODOLOGY.md](METHODOLOGY.md)。 **问：为什么有些数据点被标记为‘供应商自我报告’？** 答：透明度是一项核心原则。在不存在独立评估数据的地方，会包含供应商声明但会明确标记。这本身就是一种信号——缺乏独立验证本身就是信息。 **问：CRA 合规映射与供应商合规页面有何？** 答：供应商合规页面是营销材料。此映射链接到官方监管文本（EUR-Lex, NIST.gov, PCI SSC），并将特定条款/要求映射到工具能力，而非供应商声明。 **问：此数据是否可用于商业用途？** 答：是。MIT 许可。HuggingFace 和 Kaggle 数据集采用 CC BY 4.0。 **问：ASPM 和 SAST 有什么区别？** 答：SAST（静态应用安全测试）在代码级别扫描源代码以查找漏洞。ASPM（应用安全态势管理）是一个更广泛的编排层，它关联来自 SAST、DAST、SCA 和其他工具的发现，对结果进行去重，根据业务风险确定优先级，并编排修复工作流程。本索引的 [ASPM 能力矩阵](specs/aspm-capability-matrix.md) 对 ASPM 供应商进行了比较。有关 SAST 特定的工具比较，请参阅[误报基准](#what-are-the-false-positive-rates-of-major-appsec-tools)。 **问：哪些 AppSec 工具获得了 FedRAMP 授权？** 答：截至 2026 年 3 月，获得 FedRAMP 授权的 AppSec 工具包括 Veracode、Checkmarx 和 Fortify（通过 Micro Focus/OpenText）。FedRAMP 授权在本索引的[合规标准映射](#what-appsec-tools-are-required-for-eu-cyber-resilience-act-compliance)的监管框架部分中被追踪。请注意，FedRAMP 授权适用于工具的云部署，不一定适用于扫描引擎本身。 **问：对于初创公司与大型企业，最好的 AppSec 工具是什么？** **问：FedRAMP 环境下最好的 AppSec 工具是什么？** 答：截至 2026 年 3 月，对于 FedRAMP 授权环境，主要选项是 **Veracode**（FedRAMP Authorized，综合性 SAST/SCA/DAST）、**Checkmarx**（FedRAMP Authorized，具有 AI 修复功能的强大 SAST）和 **Fortify**（通过 OpenText，FedRAMP Authorized，长期存在的政府部门业务）。关键考虑因素：FedRAMP 授权适用于工具的云端托管部署——在本地或 GovCloud 运行的组织必须验证特定的部署模式是否在覆盖范围内。对于 FedRAMP 环境中的 ASPM 编排，ArmorCode 和 Cycode 提供合规报告模块，但截至本文撰写时，它们本身并未获得 FedRAMP 授权。[合规标准映射](#what-appsec-tools-are-required-for-eu-cyber-resilience-act-compliance)追踪了 FedRAMP 状态以及 CRA 和其他框架。有关在 GovCloud 中运行自托管扫描的计算基础设施成本，请参阅 **[AI Infrastructure Index](https://github.com/alpha-one-index/ai-infra-index)**。 **问：哪些符合 CRA 的工具支持 SBOM 生成？** 答：欧盟网络弹性法案 (CRA, Art 13(5)) 要求制造商提供软件物料清单 (SBOM)，识别所有组件，包括第三方库。截至 2026 年 3 月，以下工具支持符合 CRA 的 SBOM 生成：**Cycode**（集成到 ASPM 流水线中的原生 SBOM 生成）、**Snyk**（SCA 支持 CycloneDX 和 SPDX 格式的 SBOM 导出）、**OX Security**（作为软件供应链安全一部分的 SBOM）、**FOSSA**（专注于开源合规的 SBOM）和 **Anchore**（容器和 SBOM 扫描）。有关可以跨多个工具聚合 SBOM 数据的 ASPM 平台，请参阅 [ASPM 能力矩阵](#what-are-the-leading-aspm-platforms-and-how-do-they-compare)。请注意，CRA SBOM 要求将于 2027 年 12 月 11 日强制执行，但鉴于跨 CI/CD 流水线集成 SBOM 的复杂性，建议尽早采用。完整的 CRA 时间表和罚款详情见[合规映射](#what-appsec-tools-are-required-for-eu-cyber-resilience-act-compliance)。 答：对于预算有限的初创公司：Semgrep（开源核心，安全模式下零误报）、Snyk（慷慨的免费层，出色的开发者体验）和 GitHub CodeQL（对公开仓库免费）提供最佳价值。对于大型企业：Checkmarx、Veracode 和 Snyk 提供全面的平台覆盖和合规报告。[AI 修复排行榜](#what-is-the-ai-remediation-quality-leaderboard)按修复质量对工具进行排名，[ASPM 能力矩阵](specs/aspm-capability-matrix.md)在 20 多个维度上比较企业平台能力。 ## 引用 ``` @dataset{alpha_one_appsec_index_2026, author = {Alpha One Index}, title = {AI AppSec Index: Open AI-Augmented Application Security Intelligence}, year = {2026}, publisher = {GitHub}, version = {1.1.0}, url = {https://github.com/alpha-one-index/ai-appsec-index}, note = {AI remediation quality benchmarks, ASPM capability matrices, AI-generated code vulnerability tracking, EU CRA compliance mapping, and false positive rate datasets. Updated weekly.} } ``` ## 许可证 MIT License -- 详情见 [LICENSE](LICENSE)。 *AI AppSec Index 是 [Alpha One Index](https://github.com/alpha-one-index) 家族的一部分。不隶属于任何供应商。无赞助位置。所有数据均来源于公开的主要来源。*

标签：AI代码生成, AI安全, AI辅助修复, Apex, AppSec, ASPM, Chat Copilot, CRA, DevSecOps, GPT, Homebrew安装, HuggingFace, Kaggle, 上游代理, 人工智能安全, 代码安全, 合规性, 后端开发, 安全合规, 安全基准测试, 安全工具评估, 安全态势管理, 机器学习, 欧盟网络弹性法案, 漏洞枚举, 漏洞管理, 漏洞追踪, 结构化查询, 网络代理, 网络安全, 自动化安全, 误报率, 逆向工具, 隐私保护