科大讯飞SAST产品技术选型实践

文章预览

本文作者：科大讯飞安全专家 张德军 背景 静态应用安全测试（Static Application Security Testing，简称SAST）产品可以帮助企业在应用的开发过程中，自动化发现应用程序代码中的安全漏洞和风险，对于企业的应用安全发挥着重要作用。 我所在的企业近期计划选购一款SAST商业化产品，但业界同类型产品多达数十款，评价的维度也有很多，抛开商务层面的因素，考虑到安全漏洞和风险的检测能力是一款SAST产品最核心的能力，因此我们希望能够选择一款检测能力最强的产品。 遇到的问题 我们首先筛选出了三款产品作为我们的候选，分别是：某国外知名SAST产品A、某国外知名SAST产品B和某国产SAST产品C。 我们调研了业界目前对应用安全测试产品检测能力的测评方法，主要还是依赖一些公开的测试样本集，如webgoat、SecuriBench、Owasp Benchmark和Juliet等Benchmark。经过 ………………………………