背景

在 Doyensec，我们专长于执行白盒和灰盒应用安全审计。因此，除了动态测试应用程序，我们通常还会审计客户的源代码。这个过程通常借助开源和商用工具来实现。这些工具的现代综合版本能够检测易受攻击的第三方库的引入，这通常被称为软件成分分析（SCA）。

SCA领域有三款知名的工具：Snyk、Semgrep 和 Dependabot。前两者是独立的应用程序，包含云组件，而最后一个直接集成在 GitHub(.com) 环境中。由于安全自动化是我们的核心竞争力之一，Doyensec 在使用这些工具方面拥有丰富的经验，从为 Semgrep 编写自定义检测规则，到协助客户在其 SDLC 流程中选择和部署此类工具。我们之前也发表过关于其中一些工具的静态应用安全测试（SAST）功能的研究。您可以在此处找到这些结果。在与 Semgrep 直接讨论了这项研究后，我们被邀请对这些工具的 SCA 功能进行一次公正的横向对比。

是时候忽略大多数依赖项警报了。

您可以在我们的研究页面上找到这项最新分析的结果。在那份白皮书中，我们描述了开发测试语料库的过程以及我们的方法。简而言之，目标是确定哪个工具能够提供最具可操作性且高效的结果（即高真阳性率），而不考虑假阴性率。我们认为这种场景是大多数安全团队在现实世界中的最优选择，因为大多数团队无法承担常规性地花费数小时或数天时间追查误报的成本。为了偶尔发现一个真阳性而投入大量人力去甄别低准确度工具，其成本对除了最大型、最安全环境中的团队之外的所有团队都太高了。此外，任何试图将 CI/CD 测试结果作为部署阻断依据的尝试，也不太可能容忍超过最低限度的误报。

更多内容即将到来

我们希望您发现这份对比工具的白皮书内容翔实且有用。请关注我们的博客，以获取更多关于应用安全领域当前趋势和主题的文章。如果您需要应用安全项目（包括安全自动化服务）方面的协助，请随时通过 info@doyensec.com 联系我们。