背景
在Doyensec,我们专注于执行白盒和灰盒应用安全审计。因此,除了动态测试应用程序外,我们通常还会审计客户的源代码。这个过程通常由开源和现成工具辅助完成。现代综合版本的这些工具能够检测包含易受攻击的第三方库,通常称为软件成分分析(SCA)。
SCA领域的三个知名工具是Snyk、Semgrep和Dependabot。前两个是独立应用程序,具有云组件,最后一个直接集成到GitHub(.com)环境中。由于安全自动化是我们的核心竞争力之一,Doyensec在这些工具方面拥有丰富的经验,从为Semgrep编写自定义检测规则,到协助客户在其SDLC流程中选择和部署这些类型的工具。我们之前还发布了关于其中一些工具的静态应用安全测试(SAST)功能的研究。您可以在此处找到这些结果。在与Semgrep直接讨论这项研究后,我们被要求对这些工具的SCA功能进行公正的正面比较。
是时候忽略大多数依赖项警报了。
您可以在我们的研究页面上找到这项最新分析的结果。在那份白皮书中,我们描述了开发测试语料库的过程和方法论。简而言之,目的是确定哪个工具能提供最可操作和高效的结果(即高真阳性率),而不管假阴性率如何。这种情况被认为是大多数安全团队的最佳现实场景,因为大多数团队无法承受 routinely 花费数小时或数天追逐误报。除了最大团队在最安全环境中的情况外,为了偶尔的真阳性而筛选低保真工具所需的人工小时数成本太高。此外,任何试图因CI/CD测试而实施部署阻止的尝试都不太可能容忍超过最小量的误报。
更多内容
我们希望您发现比较这些工具的白皮书信息丰富且有用。请关注我们的博客,以获取更多关于应用安全领域当前趋势和主题的帖子。如果您需要协助您的应用安全项目,包括安全自动化服务,请随时通过info@doyensec.com联系我们。
其他相关帖子:
- 不安全的归档解包:实验室和Semgrep规则 - 2024年12月16日
- 比较Semgrep和CodeQL - 2022年10月6日
- 我在Doyensec的实习经历 - 2022年8月24日
- Regexploit:可导致拒绝服务的正则表达式 - 2021年3月11日