靜態(tài)分析或靜態(tài)應(yīng)用程序安全測試（SAST）工具是在開發(fā)過程的最早階段發(fā)現(xiàn)代碼庫中缺陷的強(qiáng)大方法。但是，用于執(zhí)行該測試的工具是鈍器。

SAST工具提供了直接用于工具的數(shù)據(jù)量。我認(rèn)為它是SOOT。

調(diào)查結(jié)果需要審核或?qū)彶椤６医?jīng)常是從一個人那里手動分類。即使是出于善意，人類也無法跟上步伐，而且往往不知所措。

來自SAST的SOOT數(shù)據(jù)問題

由于它提供的信息量很大，工程師最終只是錯過了靜態(tài)分析工具發(fā)現(xiàn)的一些最重要的漏洞，因為這些缺陷隱藏在所有噪聲（或SOOT）中。

沒有任何額外的過程，開發(fā)人員將獲得大量靜態(tài)分析結(jié)果，但是他們不知道該把精力集中在哪里。發(fā)現(xiàn)的違規(guī)數(shù)量如此之大，以至于忽略和修復(fù)問題一樣有用。

在篩選此類SOOT數(shù)據(jù)時，您試圖找到有意義的信息-您可以處理和精煉的菱形。但這僅占您數(shù)據(jù)的10％。當(dāng)您嘗試減少噪聲量（也稱為假陽性比率）時會出現(xiàn)麻煩。為了消除錯誤的讀數(shù)，您需要一個可以輕松調(diào)整和配置用于特定環(huán)境的工具，同時降低對人工智慧和監(jiān)督的依賴。

誤報的發(fā)生可能有多種原因。要了解有關(guān)誤報及其可能造成的混亂的更多信息，請閱讀《靜態(tài)代碼分析中的誤報》。

掌握貿(mào)易的SAST工具

所有SAST工具都始于您選擇正確的檢查器集和配置，以與各種類型的代碼庫（包括舊代碼）一起正常工作，并指定違例嚴(yán)重性和缺陷分類。

正確的設(shè)置是基于安全準(zhǔn)則，可能的法規(guī)以及您在現(xiàn)場遇到或預(yù)期會發(fā)生的問題之類的。然后進(jìn)行配置以考慮您的框架，上下文，舊代碼等，有助于產(chǎn)生更有用的結(jié)果。這些檢查程序通常具有基本的默認(rèn)嚴(yán)重性，以簡化優(yōu)先級。

利用本地代碼，構(gòu)建，編碼樣式和框架的上下文，您可以自定義系統(tǒng)中的規(guī)則和配置，以定義靜態(tài)分析工具將報告的值和閾值。Parasoft通過使用風(fēng)險模型來完善您應(yīng)關(guān)注的領(lǐng)域來超越此范圍。

使用風(fēng)險模型

風(fēng)險模型提供了一種客觀的方法，可以幫助確定代碼缺陷的可利用性，弱點，普遍性和可檢測性的影響。以及它可能對應(yīng)用程序產(chǎn)生什么樣的影響。結(jié)果是要確保能夠優(yōu)先考慮易于發(fā)現(xiàn)和利用的漏洞的更大范圍。通過結(jié)合嚴(yán)重性模型和風(fēng)險模型，Parasoft工具可以確定問題的嚴(yán)重程度，同時提供建議的措施。

使用Parasoft靜態(tài)代碼分析工具，您將獲得一個解決方案，該解決方案可挖掘大量靜態(tài)分析結(jié)果，從而為您提供希望作用的希望鉆石大小的珠寶。通過在相關(guān)風(fēng)險的上下文中考慮嚴(yán)重性的概念，Parasoft工具可以應(yīng)用來自行業(yè)標(biāo)準(zhǔn)安全模型（如CERT，CWE或OWASP）的數(shù)據(jù)，并將其直接帶入報告和分析儀表板。

通過考慮多種風(fēng)險模型，我們可以將上下文注入您的靜態(tài)分析結(jié)果中，從而使您可以專注于大型鉆石，而無需手動濾除所有煙灰，而不必?fù)?dān)心您可能遺漏了什么（假陰性）。

找出最重要的違反AI和ML的行為

通過利用人工智能（AI）和機(jī)器學(xué)習(xí)（ML）技術(shù)，Parasoft靜態(tài)分析工具可以識別所有發(fā)現(xiàn)的違規(guī)現(xiàn)象之間的熱點和交集，因此您可以將精力集中在代碼庫中，這是造成許多違規(guī)的根本原因其他問題。更好的是，ML監(jiān)視并學(xué)習(xí)您自己的開發(fā)團(tuán)隊的行為，以區(qū)分重要和不重要。

根據(jù)開發(fā)團(tuán)隊的歷史行為來訓(xùn)練您的AI模型，可對發(fā)現(xiàn)進(jìn)行多維分析，而ML則對數(shù)據(jù)進(jìn)行聚類以識別相關(guān)，相關(guān)或相似的違規(guī)行為。結(jié)合這兩種技術(shù)，您可以獲得更好的結(jié)果。可以了解到哪些假陽性結(jié)果可以忽略，哪些真陽性結(jié)果可以突出顯示，從而可以將大量信息縮減為幾顆非常有價值的鉆石。

例如，靜態(tài)分析可以揭示典型代碼庫中成千上萬的違規(guī)情況，盡管您可能能夠識別出數(shù)百個要解決的缺陷，但您將無法在所有時間內(nèi)修復(fù)所有問題。通過AI和ML查找違規(guī)熱點，您可以通過識別導(dǎo)致所有問題的單個代碼來同時修復(fù)多個缺陷。

使SAST培訓(xùn)輕松愉快

培訓(xùn)人們使用靜態(tài)分析工具通常被視為一個問題。它需要對特定的編程語言有深刻的了解才能獲得最大的收益。因此，Parasoft靜態(tài)分析解決方案具有集成的培訓(xùn)，教育和認(rèn)證計劃，可幫助您的開發(fā)人員快速掌握最新情況，從而可以最大程度地減少報告的誤報次數(shù)，并將他們的工作重點放在重要的工作上，而不是編寫代碼通過警告。 

通過減少無關(guān)結(jié)果的數(shù)量，該工具的采用率將提高。只需培訓(xùn)您的團(tuán)隊，他們便無需進(jìn)行任何挖掘即可獲取所需的信息。如果您給開發(fā)人員提供三項要解決的事情，這些事情顯然是高度優(yōu)先和真實的，那么您獲得的采用要好于為他們提供300次違規(guī)行為，而僅解決30個值得解決的缺陷。而且，如果他們的手干凈了，他們會很樂意一次又一次地使用該工具。它是值得信賴的顧問和工具，而不是上面令人討厭的過程。

總結(jié)

無論您的靜態(tài)分析有多少自動化，總會有手動分類的元素。問題是，在找到有價值的東西之前，您必須走多遠(yuǎn)。但是，借助包含風(fēng)險元數(shù)據(jù)的工具以及配備了AI和ML的工具，可以更加有效地發(fā)現(xiàn)和修復(fù)缺陷，您可以在軟件開發(fā)生命周期開始時快速解決違規(guī)問題，以構(gòu)建安全可靠的軟件。