「完全なカバレッジ」SAST ツールが開発者にとって不十分な理由 from securityboulevard.com

Why “Complete Coverage” SAST Tools Fall Short for Developers - securityboulevard.com
securityboulevard.com
Why “Complete Coverage” SAST Tools Fall Short for Developers - securityboulevard.com
Using SAST alone can cause significant frustration for developers and fall short for secur...

ほぼすべての開発チームが、静的アプリケーション セキュリティ テスト (SAST) を使用して、アプリケーションの問題を特定しています。
SAST に偽陰性または偽陽性が必要な理由
基本的に、SAST ツールは「脆弱」 (生産を停止してください!) または「OK」のいずれかを返します。
完全なok入力でSASTを呼び出すことによって、SASTが行う必要がある種類の推論のこの小さな例を見てみましょう:
SAST が「バグ」と言うなら、`troll` は問題なく動作するので、それも間違っています。
SAST「バグ」は、実際には完全に問題のないコードです

コメント

タイトルとURLをコピーしました