科大讯飞SAST产品技术选型实践
💡
原文中文,约3800字,阅读约需10分钟。
📝
内容提要
本文介绍了科大讯飞安全专家张德军关于静态应用安全测试(SAST)产品选择的问题。作者通过调研发现传统的测试样本集存在完整度不足、结果不具有可解释性以及更新不及时等问题。为解决这些问题,作者介绍了蚂蚁集团安全团队和浙江大学网络空间安全学院合作开源的xAST评价体系项目,该项目能够对SAST产品的安全检测能力进行评价。作者通过对三款SAST产品的测试结果进行对比,得出某国产SAST产品C在检测完整度和准确度方面表现最优。作者认为xAST评价体系能够更全面、细粒度地展现SAST产品的检测能力,并希望该项目能够支持更多的语言,满足更多用户的需求。
🎯
关键要点
- 静态应用安全测试(SAST)产品帮助企业自动发现应用程序代码中的安全漏洞和风险。
- 传统测试样本集存在完整度不足、结果不具可解释性和更新不及时等问题。
- 蚂蚁集团和浙江大学合作开源的xAST评价体系项目能够评价SAST产品的安全检测能力。
- xAST评价体系首次面向工具视角,为不同类型的工具设计了评价维度和评价项。
- xAST评价体系的评价维度包括完整度、准确度、兼容性、性能和接入成本等。
- 通过xAST评价体系对三款SAST产品进行测试,某国产SAST产品C在检测完整度和准确度方面表现最优。
- 测试结果显示,某国产SAST产品C支持绝大部分污点对象跟踪和污点链路传播场景。
- xAST评价体系能够更全面、细粒度地展现SAST产品的检测能力,减少用户的黑盒体验。
- 希望xAST评价体系未来能支持更多编程语言,满足更多用户需求。
➡️
