静态应用安全测试（SAST）软件的价值

   在我们的传统观念中，测试往往是测试部门负责的事情，然而并非如此。如今的产品发布如此之快，其实很多测试工作已经转移到了开发阶段了。而静态应用安全测试（static application security testing,SAST）软件就应该是为开发人员量身定制，来满足日常工作的需求。

好的SAST软件应该满足以下四个特点：

1. 以开发者为中心

2. 简化修复流程

3. 速度和准确性

4. 自动化

以开发者为中心

  要将一部分测试工作转移到开发人员的工作流程中，就需要把SAST软件与他们的开发工具无缝集成，以便从一开始就实施编码安全测试。现代软件 常强调需要将SAST作为持续集成的一部分，但是真正的价值在于将SAST直接嵌入到开发人员的IDE中。尽早实施是发挥SAST价值的关键点之一，但在降低成本和加快软件发布和交付方面也有很大的作用。

  在开发人员的IDE中发现并修复问题是减轻潜在安全漏洞的最佳预防技术之一，这些漏洞通常都会导致网络攻击。安全编码是防止网络攻击的第一道防线，这一切都始于将SAST无缝集成到开发人员的工作流程中。

Parasoft如何提供帮助

 Parasoft认识到以开发人员为中心对SAST的重要性，并提供以下功能来支持开发人员的工作流程。

1. 广泛支持流行的开发环境和构建环境工具

2. 对开发人员友好的修复指南和示例

3. 支持各种部署和开发模式

简化修复流程

  传统的SAST工具报告了大量的不真实的和误导性的问题，让开发人员倍感沮丧，大大打击了开发人员的信心。以开发人员为中心的SAST必须通过强调那些最重要的问题来帮助开发人员修复。大多数SAST工具都是为应用安全专家而设计的，隐藏了关于执行流程的重要信息，或者只提供一般性的描述，这使许多开发人员走了很多弯路。使用SAST不应该要求使用者是安全专家。

   提供上下文丰富的修复工作流可以帮助开发人员发现和修复问题，而无需得到应用安全专家的帮助。这是一种更快的解决方案，并且提供持续的学习，来帮助开发人员改进他们的编码实践。简化修复工作流程可以确定问题的优先级，并且提供风险分析来突出最具风险的问题。

Parasoft如何提供帮助

Parasoft认识到简化修复工作流程来提高开发人员工作效率的重要性。Parasoft提供以下功能来简化修复工作流程。

1. 高级人工智能能够区分缺陷的优先级

2. 与流行的IDE无缝集成

3. 规则创建和调整的高度可扩展性

4. 直观的安全编码指导和影响分析，并且附有示例

速度和准确性

 

   推动SAST进入到开发人员的工作流程中的第一步在于快速实现安全性，以便在开发人员实现编码后快速发现并修复安全问题。SAST必须是轻量级的，必须是高效性的，包含的安全编码规则能够帮助开发人员创建更高质量的代码。扫描结果必须可靠和准确，这样开发人员才会更有信心在开发阶段使用SAST。

   一个以开发人员为中心的SAST工具提供了可行的结果，消除了误导性的错误，并提供了关于编码问题的专业知识。这些功能让开发人员更容易在代码提交前直接在IDE中修复这些问题。精确的SAST工具消除了通常与误报相关的问题。

  以开发人员为中心的SAST通常采用侧重于模式匹配的规则和检查器来检查导致安全漏洞的常见编码问题，如语言结构使用不当、功能使用不安全、编码实践不佳、易受攻击的第三方组件等。消除这些缺陷有助于改进开发人员的代码并降低软件的风险。从一开始就将这些检查编码工作作为开发人员工作流程的一部分，可以提高生产率并降低成本。

Parasoft如何提供帮助

Parasoft提供以下功能来提高SAST开发人员工作流程的速度和准确性。

1. 上下文分析，减少误报并消除误导性的bug

2. 支持流行的IDE，以便紧密集成到开发工作流中

3. 将分析能力提升到增加对真实问题的检测

4. 安全编码的合规、实施、和持续反馈

5. Rule Wizard工具自定义规则和提高覆盖率

简化修复流程

  自动化的SAST的安全性检查流程消除了手动检查的繁杂性，并使得整个企业都能进行安全性测试，使团队能够看到与软件相关的安全风险，进一步尽早修复。快速对频繁变更的代码进行测试是否存在潜在漏洞，同时向开发人员提供及时的反馈是非常重要的。

 小量的，频繁的代码提交对SAST工具也具有要求，好的SAST工具没有必要扫描整个代码库，而是利用差异扫描来减少耗时。这也使得SAST能够使用更深入的代码分析技术，如流分析，而不牺牲速度和准确性。

 为了扩展持续集成，SAST工具必须是支持可扩展的，并且与CI/CD系统进行集成，来简化代码分析流程。最大化SAST的价值强调在开发人员的工作流程的早期就这样做，并且经常作为持续集成的一部分来做。在持续集成中，安全性和合规性可以实现自动化，这样可以大大加速软件的部署和交付。

Parasoft如何提供帮助

Parasoft提供以下功能来快速实现安全性和合规性。

1. 通过代码覆盖率和影响分析来优化扫描过程

2. 多达4000多条的静态分析规则

3. 流行的CI/CD系统集成

4. OWASP、CERT、CWE、FDA等安全标准

5. 无缝集成到开发人员的工作流

Parasoft的工具能够完美满足以上的特点，并且支持权威的仪表板分析和各种形式报告。