title: 静态应用安全测试(SAST) linkTitle: SAST weight: 3 description: 静态应用安全测试(SAST)列表 keywords: 静态应用安全测试 SAST 代码安全审计 白盒测试 CodeQL RIPS SonarQube 静态应用安全测试(SAST)工具在不执行目标软件的情况下扫描软件中的漏洞。通常,静态分析将扫描源代码以寻找安全缺陷,例如不安全函数的使用、硬编码的秘密和配置问题。SAST工具通常以IDE插件和cli的形式出现,可以集成到CI/CD管道中。
title: 静态应用安全测试(SAST) linkTitle: SAST weight: 3 description: 静态应用安全测试(SAST)列表 keywords: - 静态应用安全测试 - SAST - 代码安全审计 - 白盒测试 - CodeQL - RIPS - SonarQube
静态应用安全测试(SAST)工具在不执行目标软件的情况下扫描软件中的漏洞。通常,静态分析将扫描源代码以寻找安全缺陷,例如不安全函数的使用、硬编码的秘密和配置问题。SAST工具通常以IDE插件和cli的形式出现,可以集成到CI/CD管道中。
引用自 https://bloodzer0.github.io/ossa/application-security/code-audit/

SecurityTools-Assessment for SAST 由阿里巴巴、统信软件共同完成的开源 SAST 工具能力评估报告。
| 工具 | 总分 |
|---|---|
| CodeQL | 69.88 |
| CppCheck | 63.57 |
| Infer | 59.76 |
| 工具 | 总分 |
|---|---|
| CodeQL | 67.42 |
| SpotBugs | 43.58 |
| Semgrep | 41.68 |
| Infer | 36.56 |