SDL 25/100问:应该如何选型代码安全扫描工具?
一般在做选型时,我通常会以最终要实现的目标来分析,然后再结合一些行业规范及最佳实践,整合起来便能找到恰当的参考要素。故,可从检出效果和便利性角度出发:
1、检测效果:
1)漏洞检出率:应能够覆盖尽可能多的开发语言,能扫描出尽可能多的漏洞类型和数量;
2)代码扫描速度:快速的扫描有助于提高开发效率,减少等待时间,更容易嵌入开发流程;
3)自定义规则支持情况:应支持自定义安全规则,以适应特定业务场景和安全需求,如加白和调优;
2、使用便利性:
1)集成性:应具备与其他开发工具(如CI/CD管道)的集成能力;
2)自动化能力:应支持触发自动化扫描,减少人为干预,提高扫描效率。
至于其他相近的指标,如误报率、漏报率等,也是在关注范围内。不过与检出率紧密相关,从正向指标来看选取检出率即可。此外在做POC时,建议:不要只看工具在一些知名漏洞靶场上的表现,最好结合真实的生产系统进行测试。
更多软件安全内容,可以访问:
1、SDL100问:我与SDL的故事
SDL与DevSecOps有何异同?
如何在不同企业实施SDL?
SAST误报太高,如何解决?
SDL需要哪些人参与?
在devops中做开发安全,会遇到哪些问题?
如何实施安全需求?
安全需求,有哪些来源?
安全需求怎么实现自动化?
实施安全需求,会遇到哪些难题?
安全需求和安全设计有何异同及关联?
设计阶段应开展哪些安全活动?
有哪些不错的安全设计参考资料?
安全设计要求怎么做才能落地?
有哪些威胁建模方法论?
有哪些威胁建模工具?
如何开始或实施威胁建模?
威胁建模和架构安全评审,有何异同?
编码阶段,开展哪些安全活动?
如何选择静态代码扫描(SAST)工具?
如何选择开源组件安全扫描(SCA)工具?
SCA工具扫描出很多漏洞,如何处理?
SCA工具识别出高风险协议,如何处理?
如何制定一份有用的开发安全规范?
SDL 24/100问:如何做到开发安全规范的有效实施?
2、SDL最初实践系列
开篇
安全需求
安全设计
安全开发
安全测试
安全审核
安全响应