『壹』 源代碼安全檢測工具有用嗎是不是誤報很高呀有什麼好辦法去誤報
源代碼安全測試工具當然是有用的,存在即合理嘛。再說,還是有那麼多的大企業,銀行,檢測機構都在使用源代碼安全檢測工具來檢測代碼安全,所以有用是肯定的。
當然,很多技術人員都在說源代碼安全檢測工具的誤報率很高,在我看來也不能直接說一定是很高的,這個關鍵是看用的好壞和會不會用。一方面任何一個測試工具都會有一定的誤報,源代碼安全檢測所檢測出來的都是可能的漏洞,一般開發人員對於漏洞的理解,或者說潛在的、可能的漏洞理解都是比較不充分的,也不願意承認會有是個漏洞。所以都造成了本來不是誤報的也當是誤報了。另一方面,代碼檢測工具都只是根據一種或多種的代碼條件來判斷是不是存在一個可能的漏洞的,不像滲透測試那樣是直接攻擊型的,漏洞可以直接演示給技術人員看的。也就造成了,「只要是不能演示的漏洞,都不是漏洞」這樣的錯誤技術判斷。所以都在說源代碼安全檢測工具誤報高。這是一個錯誤的說法。
源代碼安全測試工具如果不想有那麼多所謂的「誤報」也是有很多辦法的,像思客雲公司找八哥產品那樣,可以根據用戶的需求把用戶真正關心的漏洞列出來,形成用戶自己的 "安全漏洞檢測標准TOP10",這樣就把用戶想找的,想查的,想看的,認為是正確的,沒有誤報的都找出來,其他的不看了,不就可以了嗎? 還有一個方面,如果開發人員在開發過程中就用代碼安全檢測工具定期掃描的話,漏洞數也不會那麼多,接受起來也比較容易,這樣一來,所謂的「誤報高」就迎刃而解了。