有几种技术可以识别软件和系统的漏洞,聪明的组织把它们放在他们的“安全工具箱”中,并使用各种测试工具的组合,包括:
- 静态分析安全测试(SAST)
- 动态分析安全测试(DAST)
- 源成分分析(SCA)
- 漏洞扫描器
- 渗透测试
通过自动化工具提高安全性的动机是将软件开发生命周期(SDLC)中尽早识别和修复漏洞的工作左移。当应用程序接近发布时,修复和补救变得更加复杂。图1显示了随着SDLC的进展,修复漏洞的成本如何急剧增加。
图1:随着SDLC的进展,修复漏洞的成本增加。
要深入了解软件安全的经济性,请查看《安全软件的商业价值》白皮书。本篇文章主要介绍将静态分析安全测试作为组织安全实践的一部分。