選擇靜態應用程式測試工具(SAST)的七點清單
從汽車到飛機,從醫療裝置到工業控制系統,許多現代化產品都需要由軟體驅動,安全問題已經成為製造商關注的重點問題。軟體缺陷不僅會透過引入可被攻擊者利用的漏洞影響安全性,還會透過影響產品的功能操作來影響安全性。
此外,產品安全還會產生財務財務影響。例如,在開發中修復漏洞的成本比在測試中低10倍,比在生產中低100倍。這也說明為什麼靜態應用程式安全測試(SAST)已經成為產品安全性的基石,以及安全左移中在開發的早期階段進行程式碼分析。
與其他形式的應用程式安全測試(AST)不同,SAST掃描所有原始碼,包括配置檔案,而不僅僅是在執行時執行的程式碼。SAST還可以進行程式碼規範檢測。軟體質量和安全性是密不可分的,因為編寫得不好的軟體通常不安全。
為了確保SAST工具更符合企業的業務需求,在評估SAST工具時,通常會考慮以下幾點:
1.多種語言支援
語言的選擇通常基於軟體開發商的程式設計需求、消費者的需求以及與產品相關的硬體。例如,為航空航天等安全關鍵型應用開發軟體所需的功能與用於構建 Web 應用程式的語言不同。支援多種語言程式碼檢測,如C/C++、Java、C#、Python、PHP、JS、HTML等。
2. 與多種開發環境整合
開發環境平臺通常包括編譯器和除錯工具以及各種作業系統檔案和配置選項,因此確保 SAST 工具可以與所使用的開發環境整合。
3. 較低的誤報和漏報
在DevOps中加入安全性,需要同時保證開發速度和安全性。過多的誤報會將開發人員的注意力從完成軟體創新開發轉移到排查潛在缺陷上。太多誤報容易導致開發人員對真正安全缺陷報告失去耐心,並較少關注真正的安全警報。
4. 可整合在DevOps中
軟體開發生命週期使用廣泛的工具集,提供自動化以幫助開發人員更快地將產品送到生產階段。確保 SAST 工具支援並與不同的工具類別整合,包括協作和管理、原始碼管理和儲存庫、IDE、編譯器、編排和自動化等。
5. 支援國產環境
隨著企業所使用的環境及軟體逐漸國產化,對其安全性檢測所使用的SAST 工具需要支援國產化環境。除了支援 Ubuntu、CentOS主流Linux環境部署,還需要支援中標麒麟、銀河麒麟等國產作業系統。
6. 開發人員友好的使用者介面
左移安全性通常透過將安全警告整合到開發工程師使用的整合開發環境 (IDE)中來實現。在現有 IDE 中工作的 SAST 工具可以減少呈現給測試人員的錯誤數量,從而減少大規模“返工”並確保在截至日期前完成任務。
7. 支援多種標準
許多企業需要使用(有些必須遵守)軟體編碼實踐的標準,如CWE、OWASP、CERT、MISRA等,這些標準為提高軟體系統的可靠性和安全性提供了框架。此外,公司可能需要滿足國家規定的標準及編碼安全標準,如GB/T 34943,GB/T 34944,GB/T 34946以及電子行業標準,SJ/T11682、SJ/T11683和組織特定標準等。
使用這些基本準則來評估 SAST 工具,將有助於所選擇的產品滿足組織的業務、技術、安全和安保要求。
來源:
https://devops.com/a-seven-point-checklist-for-getting-sast-right/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2941845/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 靜態應用程式安全測試 (SAST) 工具AST
- SAST 與 DAST:靜態和動態應用程式安全測試AST
- 影響靜態應用安全測試工具(SAST)分析速度的3個方面AST
- 靜態程式碼檢測工具(SAST)有哪些作用AST
- 如何高效實施靜態程式碼檢測工具SAST?AST
- 選擇靜態程式碼安全檢測工具指南
- 靜態應用程式安全測試
- 如何選擇合適的移動應用測試工具?
- 單元測試時靜態方法注意點
- HelixQAC-軟體程式碼靜態測試工具
- 正確選擇合適的移動應用測試工具很重要
- SAST vs DAST:如何選擇AST
- White Source SAST—資訊保安測試工具AST
- 靜態應用程式安全測試如何發現網路中看不見的缺陷
- Helix QAC—軟體靜態測試工具
- Helix QAC — 軟體靜態測試工具
- Helix QAC-軟體靜態測試工具
- 線上xpath選擇器測試工具
- [譯] 2018 年,如何選擇最好的靜態站點生成器
- 靜態測試方案
- Web應用程式測試的工具selenium用法詳解Web
- 用於安全測試的SAST與DAST有何不同?AST
- 測試開發的方向應該如何選擇?
- 關於單例及靜態變數測試單例變數
- 如何選擇合適的自動化測試工具?
- [20190201]測試服務名支援靜態和動態註冊的情況下優先選擇那個.txt
- 萬字帶你熟悉靜態分析工具的評估測試
- 請教怎樣測試工具類的 windows 應用程式?Windows
- 微服務測試之靜態程式碼掃描微服務
- iOS應用程式瘦身的靜態庫解決方案iOS
- Helix QAC—原始碼級靜態自動化測試工具原始碼
- Klocwork—符合功能安全要求的自動化靜態測試工具
- Klocwork — 符合功能安全要求的自動化靜態測試工具
- 靜態測試解決方案
- 軟體測試人員必備的60個測試工具清單,果斷收藏了!
- 如何測試 Flutter 應用? ー 單元測試Flutter
- 中小團隊選擇一款合適的測試用例管理工具
- 介面測試框架選擇框架