九個頂級的SAST和DAST工具

應用安全測試工具市場已經進入成熟期，本文將介紹9個國外頂級的SAST和DAST工具。

近年來，隨著SolarWinds為代表的軟件供應鏈安全威脅的持續增長，企業對應用安全和開發安全的重視程度也在不斷提升，只有將安全性工作融入整個軟件開發生命周期，才能從根本上償還軟件開發的“安全債”。

在開發管道中部署的應用安全測試工具（包括動態安全測試工具DAST和靜態安全測試工具SAST）是讓開發人員成為軟件安全主導者的關鍵所在。根據Gartner的新興企業技術預測，2022年應用程序安全測試工具（包括SAST和DAST）已經進入成熟期。

以下我們收集整理了當今一些頂級SAST和DAST工具（5個SAST工具和4個DAST工具）。這些工具的用戶評價很高，且擁有非常活躍的用戶和較大的安裝基數。但這并不意味著這些工具一定是最好的或者最適合的。用戶選購此類產品時，本列表中對產品優點和賣點的描述可作為參考。

5個頂級SAST工具

1.Checkmarx SAST

Checkmarx SAST擁有SAST工具中最友好的Web用戶界面，同時還整合了很多高級功能。即使是那些對軟件開發中的安全問題不熟悉的人，也能在這個界面的幫助下快速成長。Checkmarx不僅會識別漏洞，還會對漏洞的危險性做出解釋。只需按下一個“最佳修復位置”按鈕，開發人員就可以深入了解消除這些問題的最簡單、最有效的方法。

Checkmarx開箱即用，支持超過25種編程語言，可配置為作為CI/CD管道的一部分自動運行，或者設置自定義查詢并根據需要運行。它還可以適應任何主流IDE或源代碼管理平臺。

2.CyberRes Fortify

CyberRes Fortify平臺同時提供SAST和DAST功能。作為SAST產品，它的可視化界面非常干凈簡潔，可以很直觀地向開發人員展示代碼中的特定漏洞以及定期發現的漏洞種類的統計信息（分為810個漏洞類別）。然后，它將開發人員引導至其游戲化的培訓界面，該界面使學習安全知識和編寫安全代碼變得輕松有趣。

該平臺支持27種編程語言和框架，可以在本地部署或用作服務，還可以集成到大多數主流IDE中，例如Eclipse和Visual Studio。

3.Perforce Klocwork SAST

Perforce Klocwork SAST號稱即使在最龐大的開發環境中也能提高速度。它適用于用C、C++、Java、JavaScript和Python程序，以及Docker容器。它可以集成到任何主流IDE中，如Visual Studio Code、IntelliJ等。

該工具的開發人員聲稱，他們設計Klocwork是為了彌補SAST工具的差距，使其能夠在復雜的環境中運行。用戶可以使用Klocwork掃描多達數百萬行代碼組成的大規模代碼庫。Klocwork使用了一些技巧來進一步減少掃描時間，比如每次只掃描更改的代碼區域而不是整個程序。

Klocwork甚至還能幫助對開發人員進行安全培訓。它可完全集成到負責安全和意識培訓的Secure Code Warrior培訓平臺中。因此，Klocwork不但可以發現和修復代碼中的問題，還能培訓開發人員。

4.Spectral SpectralOps Platform

Check Point最近收購了Spectral，但仍在積極支持SpectralOps平臺，這可能是因為其獨特的SAST功能。SpectralOps可以找到開發人員在開發過程中經常硬編碼到程序中的API密鑰、憑據和令牌等敏感信息。通過查找這些敏感信息和錯誤安全配置，可以防止程序在開發過程中被惡意用戶未授權訪問，對于已經部署的應用程序也是如此。

SpectralOps在軟件開發生命周期的每一個步驟都會不斷掃描，使用人工智能技術跟蹤超過2,000個檢測引擎。SpectralOps采用其他測試方法來確保發現可疑情況時不會產生誤報。之后，它可以通過各種通信平臺向Slack報告其發現、發布JIRA工單或提醒開發人員。

5.Veracode Static Analysis SAST

Veracode靜態分析SAST平臺是一種云服務，這避免了在本地環境中維護SAST應用程序的復雜性。Veracode采用即時學習原則，可以將易受攻擊的代碼標記為開發人員正在編寫代碼。修復代碼后，工具可以生成報告，企業可以根據這些報告來表彰那些安全意識較好的開發人員，并通過積極的強化來激勵他們。

除了集成到主流IDE之外，Veracode還注重速度。可以自動掃描程序或應用程序的每個組件，平均掃描時間僅為90秒。而且Veracode平臺還能細致地跟蹤測試工作，并在在線門戶中整理報告。即使在高度復雜或繁忙的開發環境中，這也使得通過審計更容易。

4個頂級DAST工具

1.Acunetix DAST

Acunetix DAST平臺使用DAST和IAST（交互式應用程序安全測試，將掃描和測試代碼嵌入到編譯程序中）在已完成的代碼、網站設計、應用程序等中查找7000多個漏洞。通過IAST模塊，Acunetix可以在程序正在運行時啟動其掃描，這可能比查看靜態應用程序時發現更多的漏洞。與SAST相比，IAST還需要進一步減少誤報。

該平臺的代碼是用C++編寫的，因此速度更快。而且，由于平臺在掃描尚未過半就能輸出最多90%的結果，因此實際速度給人的感覺更快。用戶可以將Acunetix平臺設置為運行一次或設置時間表自動重復測試。而且由于該平臺非常精簡，它甚至可以同時掃描多個環境而不會減慢速度。

2.Micro Focus Fortify WebInspect

Micro Focus Fortify WebInspect平臺可本地安裝、作為服務或在混合環境中組合使用。雖然它作為一個獨立的DAST工具工作，但它可集成到CI/CD管道中，供通常僅使用SAST工具的開發人員使用（啟用僅查找最關鍵漏洞的掃描）。因此，開發人員不會錯過嚴重漏洞的警報，并且可以在部署之前很早就及時修復漏洞。該工具還可以掃描代碼是否符合各種行業和政府框架，例如NIST 800-53、PCI DSS、OWASP或HIPAA。

一旦發現漏洞，該平臺將通過圖形界面和分步說明來報告問題并給出修復建議。

3.Synopsys Managed DAST

顧名思義，Synopsys Managed DAST平臺可作為托管服務使用。除了無需在內部維護和管理平臺這一優點外，另一個關鍵優勢是Synopsys可在需要時提供專家幫助。如果DAST掃描發現開發團隊不知道如何解決的問題，用戶可以向Synopsys的專家尋求幫助。

除了發現困擾大多數程序（如SQL注入、跨站點腳本和其他安全錯誤配置）的常見漏洞外，Synopsys DAST還提供手動掃描模式，可以查找和發現更復雜的問題。它可以發現與身份驗證和會話管理錯誤、訪問控制問題、信息泄漏和其他在典型掃描中難以發現的漏洞。

4.Tenable.io Web App Scanning

Tenable是一個老牌網絡安全廠商，為政府和企業提供強大的基于云的漏洞管理平臺。Tenable Web App Scanning應用程序是該平臺的一部分，同時也提供功能強大的DAST工具。

Tenable Web應用掃描工具僅適用于Web應用程序，可執行深度掃描。掃描范圍涵蓋HTML5和標準HTML以及AJAX。該應用程序的界面很簡潔，沒有專業應用程序安全專家的團隊也可以使用。設置自動化很容易，用戶可以精確配置需要掃描哪些代碼。例如，你可以將Web App Scanner設置為僅掃描應用程序的某些局部，這種情況在政府客戶項目中很常見。

用戶還可以單獨使用Web App Scanner，或者將其集成到Tenable的任何其他網絡安全解決方案中，所有這些解決方案都共享一個相似的界面，以便于部署。