代码扫描工具选型—POC结果分享
最近我们安全部门要启动代码扫描工具的项目,学习大厂做SDL和开发安全。花了好大的精力去调研了解这个东西,产品功能和POC什么的,特此记录一下,也给自己做个备忘。
先说下我的调研过程和经验吧:
-
先百度上一通搜索,发现这类产品也不少,还有一些别人的资料,但资料数据也不全准,具体咋样还得自己做POC。
-
我们没有考虑开源的,之前用过几个开源的工具,findbugs的sec版、sonar、cobra等等,最后发现开源工具真的都挺快的,但是达不到我们的安全标准,测出问题不多,可能对小公司比较实用。
-
商用产品POC范围确认:根据国外的gartner和国内类似gartner的调研,确认几个大家都认可的:国外的Frotify、checkmarx、Klocwork、Coverity,国内的有代码卫士、Wukong、鸿渐SAST、酷德啄木鸟。国内好像也有其他的工具,不过要么被大厂收购了,要么没获取到多少数据。
最后上干货,根据我们的需求,针对上面的几个产品做POC,汇总了一下,内容都在这个表格里:
然后,如果大家选择产品的话,还是要先根据自己需求定一个供应商入围范围,再根据POC测试数据选最适合的。
根据我的情况,给大家一个确定供应商入围范围的宗旨,供参考: