【51CTO.com快譯】眾所周知，安全漏洞往往會給組織帶來極大的麻煩。攻擊者會利用它們?nèi)ス羝胀ㄓ脩?、管理員、以及那些連接和使用此類應(yīng)用的用戶。因此，我們需要在應(yīng)用程序運(yùn)行之前盡早地發(fā)現(xiàn)各種安全漏洞。

SAST是靜態(tài)應(yīng)用程序安全測試(Static Application Security Testing)的縮寫。它是一種分析代碼的測試過程，能夠掃描和檢測到程序內(nèi)部的安全漏洞，進(jìn)而確保應(yīng)用的安全性。也正因?yàn)樗軌蚍治鰬?yīng)用程序的內(nèi)部結(jié)構(gòu)，因此有時它也被直接稱為白盒測試(https://www.guru99.com/white-box-testing.html)。

與黑盒測試工具相比，設(shè)置SAST工具往往非常耗時。不過，值得慶幸的是，目前業(yè)界有著各種解決方案，能夠幫助我們提高效率。下面，我將向您介紹其中排名前6的SAST解決方案。

1. Klocwork

Klocwork是針對C、C++、C#和Java代碼庫的SAST解決方案。它能夠識別各種與安全相關(guān)的問題。通過在應(yīng)用程序上實(shí)施各種安全標(biāo)準(zhǔn)(例如OWASP -- https://owasp.org/)和質(zhì)量標(biāo)準(zhǔn)，Klocwork能夠確保軟件的可靠性與質(zhì)量。此外，用戶也可以將自定義的標(biāo)準(zhǔn)應(yīng)用到自己的程序中。

無論是小型應(yīng)用還是大型企業(yè)程序，Klocwork會隨著應(yīng)用程序的迭代，而有效地進(jìn)行擴(kuò)展。它不但支持協(xié)作，而且能夠?qū)崟r地提供質(zhì)量報告，并可以被集成到CI/CD管道中，以便在程序的每次合并、推送或提交時，快速發(fā)現(xiàn)和解決安全性相關(guān)問題。

2. Veracode

作為一種SAST解決方案，Veracode可以被集成到IDE和CI/CD管道中。它既能夠快速、自動化且實(shí)時地提供已發(fā)現(xiàn)的漏洞，又能夠在IDE上給出諸如代碼示例、應(yīng)用安全指導(dǎo)鏈接等安全性反饋，及其解決方案。在被集成到pipIt中后，它會在應(yīng)用程序被部署之前，執(zhí)行全面的策略掃描。

Veracode還可以在管道中提供各種快速的結(jié)果。同時，它可以運(yùn)行在每一步構(gòu)建上，為團(tuán)隊提供有關(guān)代碼的安全性反饋。一旦發(fā)現(xiàn)新的安全性問題，Veracode還可以直接中斷構(gòu)建，或更新應(yīng)用程序的部署。

3. HCL AppScan

AppScan可以被直接集成到軟件開發(fā)的生命周期中，以識別應(yīng)用程序上的安全漏洞，讓用戶了解其來源和影響，進(jìn)而協(xié)助解決。它不但可以被用于進(jìn)行移動、開源、Web類的安全測試，而且由于該工具非常靈活，因此能夠隨著應(yīng)用程序的增長，提供相應(yīng)的擴(kuò)展選項。

AppScan使用機(jī)器學(xué)習(xí)，來快速地識別出那些關(guān)鍵的安全漏洞，以及相應(yīng)的最優(yōu)解決方案。當(dāng)然，對于那些有可能惡化的漏洞，該工具則能夠有效地防止用戶花費(fèi)昂貴的代價予以修復(fù)。此外，它也可以被集成到各種IDE，以及諸如CI/CDS的應(yīng)用源代碼構(gòu)建過程中。

4. Sentinel

Sentinel支持許多當(dāng)前流行的語言和框架。它可以被集成到CI/CD系統(tǒng)中，并在構(gòu)建和部署應(yīng)用程序時，使用機(jī)器學(xué)習(xí)來確保持續(xù)漏洞掃描的準(zhǔn)確性。使用Sentinel，用戶能夠及時地發(fā)現(xiàn)安全相關(guān)問題，并據(jù)此找到相應(yīng)的解決方法。

通過Sentinel，您可以根據(jù)常見漏洞披露(CVE -- https://cve.mitre.org/)，以及過往的版本，在應(yīng)用程序所使用的外部庫與組件中，發(fā)現(xiàn)各種許可證風(fēng)險，并快速修補(bǔ)各類安全漏洞。

5. Checkmarx

Checkmarx支持超過25種編程語言和框架，而且其掃描過程無需任何配置。企業(yè)的安全團(tuán)隊、開發(fā)團(tuán)隊、尤其是DevOps團(tuán)隊，都可以使用它來掃描自己的源代碼。Checkmarx不但能夠識別出數(shù)百種安全漏洞，而且可以為發(fā)現(xiàn)的漏洞提供解決方案。

通過被集成到各種IDE、服務(wù)器和CI/CD管道中，Checkmarx可以檢測來自未編譯代碼、以及已編譯代碼的不同安全漏洞。

此外，Checkmarx還可以隨著應(yīng)用程序的增長，而靈活地擴(kuò)展，從而使開發(fā)團(tuán)隊更能夠集中精力去檢查程序中的其他部分。

6. SonarQube

SonarQube通過集成到IDE中，可以在用戶處理程序源代碼時，及時提供安全性反饋。此類反饋包含其發(fā)現(xiàn)的任何漏洞，以及對應(yīng)的詳細(xì)信息。

通過盡早地發(fā)現(xiàn)開發(fā)過程中的安全問題，該工具能夠有效地防止用戶花費(fèi)昂貴的代價去予以修復(fù)。此外，借助該工具生成的報告，團(tuán)隊中的每個成員都能夠在持續(xù)工作時，獲悉應(yīng)用程序的代碼質(zhì)量。

小結(jié)

綜上所述，通過使用SAST解決方案，我們不但可以讓應(yīng)用程序的開發(fā)更加快捷，而且能夠使其更加安全可靠。請您根據(jù)手頭項目的實(shí)際情況，選取其中的一種進(jìn)行試用吧。 

原文標(biāo)題：Top SAST Solutions You Should Know，作者: Anton Lawrence

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】