背景介绍

在Doyensec，我们专注于执行白盒与灰盒应用安全审计。因此，除了对应用程序进行动态测试外，我们通常还会审计客户提供的源代码。这一过程通常借助开源和商业工具进行软件辅助。这些工具的现代综合版本提供了检测包含易受攻击的第三方库的能力，这通常被称为软件成分分析。

核心SCA工具概览

软件成分分析领域中三个知名的工具是 Snyk、Semgrep 和 Dependabot。前两者是独立的应用程序，带有云端组件，而最后一个则直接集成在GitHub环境中。由于安全自动化是我们的核心能力之一，Doyensec 在使用这些工具方面拥有丰富的经验，从为 Semgrep 编写自定义检测规则，到协助客户在其软件开发生命周期流程中选择和部署此类工具。我们之前也发表过关于其中一些工具在静态应用程序安全测试能力方面的研究。您可以在此处找到这些结果。在与 Semgrep 直接讨论此项研究后，他们邀请我们对这些工具的 SCA 功能也进行一次公正的面对面比较。

是时候忽略大多数的依赖项警报了。

您可以在我们的研究页面上找到这项最新分析的结果。在该白皮书中，我们描述了开发测试语料库的过程以及我们的方法论。简而言之，目标是确定哪个工具能提供最具可操作性和效率的结果，而无论其漏报率如何。我们认为，对于大多数安全团队来说，这是最优的现实场景，因为大多数团队无法承受经常花费数小时或数天去追踪误报。为了偶尔发现一个真正的漏洞而投入人力去分类低准确率的工具，其成本对于除了最大型、安全性要求最高的环境中的团队外，都太过高昂。此外，任何试图根据CI/CD测试结果实施部署阻止的尝试，都几乎不可能容忍超过最低限度的误报。

未来展望

我们希望您觉得这份比较工具的白皮书信息丰富且实用。请关注我们的博客，以获取更多关于应用安全领域当前趋势和主题的文章。如果您在应用安全项目（包括安全自动化服务）方面需要帮助，请随时通过 info@doyensec.com 与我们联系。

其他相关文章：

• 不安全的归档解包：实验与Semgrep规则 - 2024年12月16日
• Semgrep 与 CodeQL 对比 - 2022年10月6日
• 我在Doyensec的实习经历 - 2022年8月24日
• Regexploit：可导致拒绝服务的正则表达式 - 2021年3月11日