【51CTO.com快譯】眾所周知，安全漏洞往往會給組織帶來極大的麻煩。攻擊者會利用它們去攻擊普通用戶、管理員、以及那些連接和使用此類應用的用戶。因此，我們需要在應用程序運行之前盡早地發現各種安全漏洞。

SAST是靜態應用程序安全測試(Static Application Security Testing)的縮寫。它是一種分析代碼的測試過程，能夠掃描和檢測到程序內部的安全漏洞，進而確保應用的安全性。也正因為它能夠分析應用程序的內部結構，因此有時它也被直接稱為白盒測試(https://www.guru99.com/white-box-testing.html)。

與黑盒測試工具相比，設置SAST工具往往非常耗時。不過，值得慶幸的是，目前業界有著各種解決方案，能夠幫助我們提高效率。下面，我將向您介紹其中排名前6的SAST解決方案。

1. Klocwork

Klocwork是針對C、C++、C#和Java代碼庫的SAST解決方案。它能夠識別各種與安全相關的問題。通過在應用程序上實施各種安全標準(例如OWASP -- https://owasp.org/)和質量標準，Klocwork能夠確保軟件的可靠性與質量。此外，用戶也可以將自定義的標準應用到自己的程序中。

無論是小型應用還是大型企業程序，Klocwork會隨著應用程序的迭代，而有效地進行擴展。它不但支持協作，而且能夠實時地提供質量報告，并可以被集成到CI/CD管道中，以便在程序的每次合并、推送或提交時，快速發現和解決安全性相關問題。

2. Veracode

作為一種SAST解決方案，Veracode可以被集成到IDE和CI/CD管道中。它既能夠快速、自動化且實時地提供已發現的漏洞，又能夠在IDE上給出諸如代碼示例、應用安全指導鏈接等安全性反饋，及其解決方案。在被集成到pipIt中后，它會在應用程序被部署之前，執行全面的策略掃描。

Veracode還可以在管道中提供各種快速的結果。同時，它可以運行在每一步構建上，為團隊提供有關代碼的安全性反饋。一旦發現新的安全性問題，Veracode還可以直接中斷構建，或更新應用程序的部署。

3. HCL AppScan

AppScan可以被直接集成到軟件開發的生命周期中，以識別應用程序上的安全漏洞，讓用戶了解其來源和影響，進而協助解決。它不但可以被用于進行移動、開源、Web類的安全測試，而且由于該工具非常靈活，因此能夠隨著應用程序的增長，提供相應的擴展選項。

AppScan使用機器學習，來快速地識別出那些關鍵的安全漏洞，以及相應的最優解決方案。當然，對于那些有可能惡化的漏洞，該工具則能夠有效地防止用戶花費昂貴的代價予以修復。此外，它也可以被集成到各種IDE，以及諸如CI/CDS的應用源代碼構建過程中。

4. Sentinel

Sentinel支持許多當前流行的語言和框架。它可以被集成到CI/CD系統中，并在構建和部署應用程序時，使用機器學習來確保持續漏洞掃描的準確性。使用Sentinel，用戶能夠及時地發現安全相關問題，并據此找到相應的解決方法。

通過Sentinel，您可以根據常見漏洞披露(CVE -- https://cve.mitre.org/)，以及過往的版本，在應用程序所使用的外部庫與組件中，發現各種許可證風險，并快速修補各類安全漏洞。

5. Checkmarx

Checkmarx支持超過25種編程語言和框架，而且其掃描過程無需任何配置。企業的安全團隊、開發團隊、尤其是DevOps團隊，都可以使用它來掃描自己的源代碼。Checkmarx不但能夠識別出數百種安全漏洞，而且可以為發現的漏洞提供解決方案。

通過被集成到各種IDE、服務器和CI/CD管道中，Checkmarx可以檢測來自未編譯代碼、以及已編譯代碼的不同安全漏洞。

此外，Checkmarx還可以隨著應用程序的增長，而靈活地擴展，從而使開發團隊更能夠集中精力去檢查程序中的其他部分。

6. SonarQube

SonarQube通過集成到IDE中，可以在用戶處理程序源代碼時，及時提供安全性反饋。此類反饋包含其發現的任何漏洞，以及對應的詳細信息。

通過盡早地發現開發過程中的安全問題，該工具能夠有效地防止用戶花費昂貴的代價去予以修復。此外，借助該工具生成的報告，團隊中的每個成員都能夠在持續工作時，獲悉應用程序的代碼質量。

小結

綜上所述，通過使用SAST解決方案，我們不但可以讓應用程序的開發更加快捷，而且能夠使其更加安全可靠。請您根據手頭項目的實際情況，選取其中的一種進行試用吧。 

原文標題：Top SAST Solutions You Should Know，作者: Anton Lawrence

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】