背景

在Doyensec，我们专注于白盒与灰盒应用安全审计。除动态测试外，通常还会审计客户源代码。该过程常借助开源或商用工具实现，现代版本的工具具备检测第三方漏洞库的能力，即软件成分分析（SCA）。

工具生态

SCA领域的三款知名工具分别为Snyk、Semgrep和Dependabot。前两者是含云组件的独立应用，后者直接集成于GitHub环境。作为安全自动化专家，Doyensec对这些工具具有丰富经验：从为Semgrep编写定制检测规则，到协助客户在SDLC流程中部署这类工具。我们此前还发布过关于它们静态应用安全测试(SAST)能力的研究报告（查看详情）。在与Semgrep团队交流后，我们受邀对这三款工具的SCA功能进行无偏见横向对比。

核心发现

应当忽略大多数依赖项告警。完整测试结果已发布于研究页面，白皮书中详细描述了测试集构建方法。简言之，我们旨在评估哪款工具能提供最高效的可行动结果（即高真阳性率），而非关注漏报率。这种场景符合多数安全团队的实际需求——他们无法承受耗时数日追查误报的代价。除超大型团队外，低精度工具带来的海量误报会耗尽人力资源。此外，在CI/CD流程中实施部署阻断时，系统对误报的容忍度极低。

后续计划

希望本次工具对比白皮书对您有所启发。欢迎关注我们的博客获取更多应用安全趋势分析。如需应用安全项目协助（包括安全自动化服务），请通过info@doyensec.com联系我们。

相关文章推荐：

• 不安全的归档解压：实验与Semgrep规则（2024-12-16）
• Semgrep与CodeQL深度对比（2022-10-06）
• 我在Doyensec的实习经历（2022-08-24）
• Regexploit：可导致DoS的正则表达式（2021-03-11）