背景

在Doyensec，我们专注于执行白盒和灰盒应用安全审计。除了动态测试应用程序外，我们通常还会审计客户源代码。这个过程通常借助开源和现成工具进行软件辅助。这些工具的现代综合版本提供了检测包含易受攻击第三方库的能力，通常称为软件成分分析(SCA)。

SCA领域中三个知名工具是Snyk、Semgrep和Dependabot。前两个是独立应用程序，具有云组件，最后一个直接集成到GitHub环境中。由于安全自动化是我们的核心竞争力之一，Doyensec在这些工具方面拥有丰富经验，从为Semgrep编写自定义检测规则，到协助客户在其SDLC流程中选择和部署这些类型的工具。

我们之前还发布了关于其中一些工具的静态应用安全测试(SAST)功能的研究。您可以在这里找到这些结果。在与Semgrep直接讨论这项研究后，我们被要求对这些工具的SCA功能进行公正的面对面比较。

是时候忽略大多数依赖警报了

您可以在我们的研究页面找到这项最新分析的结果。在该白皮书中，我们描述了开发测试语料库的过程和方法论。简而言之，目标是确定哪个工具能够提供最可操作和高效的结果（即高真阳性率），无论假阴性率如何。这种场景被认为是大多数安全团队的最佳现实场景，因为大多数团队无法承担常规花费数小时或数天追踪误报的成本。为了偶尔的真阳性而花费人员时间对低保真工具进行分类，对于除了最大团队在最安全环境中的情况来说成本太高。此外，任何尝试在CI/CD测试结果基础上实施部署阻止的举措都不太可能容忍超过最小数量的误报。

更多内容即将推出

我们希望您发现比较这些工具的白皮书信息丰富且有用。请关注我们的博客，获取更多关于应用安全领域当前趋势和主题的文章。如果您需要协助您的应用安全项目，包括安全自动化服务，请随时通过info@doyensec.com联系我们。

其他相关文章：

• 不安全的归档解包：实验室和Semgrep规则 - 2024年12月16日
• 比较Semgrep和CodeQL - 2022年10月6日
• 我在Doyensec的实习经历 - 2022年8月24日
• Regexploit：可导致拒绝服务的正则表达式 - 2021年3月11日