如何从静态分析安全测试中挖掘“钻石”价值？

静态分析，或静态应用安全测试（SAST），工具是在开发过程的最先阶段发现代码库中的缺陷的有力方法。然而，用于执行该测试的工具是钝器。

SAST工具提供了大量的数据，这些数据是直出工具的。我把它看做是SOOT。

这些发现须要进行审计或审查。并且常常须要一我的进行手动分流。即便他们是善意的，人类也没法跟上，他们每每会被淹没。

来自SAST的SOOT数据的问题

因为它提供了大量的信息，工程师最终只是错过了静态分析工具发现的一些最重要的漏洞，由于这些缺陷隐藏在全部的噪音（或SOOT）中。

没有任何额外的过程，开发人员获得了一堆静态分析结果，但他们不知道该把注意力集中在哪里。发现的违规行为数量如此之多，以致于感受忽略这些问题和修复这些问题同样有用。

当筛选这种SOOT数据时，你会试图找到有意义的信息——能够处理和提炼的“钻石”。但这只占你数据的10%左右。当你试图减小噪声量时，麻烦就来了，也就是所谓的假阳性率。为了消除假读数，你须要一个工具，你能够很容易地针对你的特定环境进行调整和配置，同时下降对人类智能和监督的依赖。

误报的发生有多种缘由。要了解更多有关误报及其可能形成的混乱，请阅读静态代码分析中的误报。

掌握 SAST 行业工具

全部的SAST工具都是从你选择正确的检查器集和配置开始的，以便正确地与各类代码库（包括遗留代码）一块儿工做，同时为缺陷分配违规严重性和分类。

正确的设置是基于安全准则、可能的法规，以及诸如你在现场遇到的问题或预期可能发生的问题。而后配置考虑你的框架、上下文、遗留代码等，有助于产生更有用的结果。这些检查器一般有一个基本的默认严重性，用于简单化的优先级。

经过你的本地代码、构建、编码风格和框架的上下文，你能够自定义系统中的规则和配置，以定义静态分析工具将汇报的值和阈值。Parasoft 经过使用风险模型来完善你应该关注的领域。

使用风险模型

风险模型提供了一种客观的方法来帮助肯定代码缺陷的可利用性、弱点、广泛性和可检测性的影响。并且还能够判断它可能对应用产生什么样的影响。其结果是在更大的范围内，确保优先处理那些容易发现和利用的漏洞。经过将严重性和风险模型结合起来，Parasoft工具能够准确地肯定问题会有多严重，同时在开箱即提供建议的行动。

经过Parasoft静态代码分析工具，你能够获得一个解决方案，它能够挖掘出堆积如山的静态分析结果，为你提供能够采起行动的但愿“钻石”大小的珠宝。经过在相关风险的背景下考虑严重性的概念，Parasoft工具能够应用来自行业标准安全模型（如CERT、CWE或OWASP）的数据，并将它们直接带入报告和分析仪表板。

经过考虑多种风险模型，咱们可以将上下文注入到你的静态分析结果中，让你专一于大“钻石”，而无需手动过滤掉全部烟尘，也无需担忧你可能错过的东西（假否认值）。

利用AI和ML识别最重要的违规行为

经过利用人工智能(AI)和机器学习(ML)技术，Parasoft静态分析工具能够识别出全部发现的违规行为之间的热点和交叉点，这样你就能够将精力集中在代码库中做为许多其余问题的根本缘由的部分。更好的是，ML能够监控并学习你本身的开发团队的行为，以区分哪些是重要的，哪些是不重要的。

根据开发团队的历史行为来训练你的AI模型，对发现的问题进行多维度分析，而ML则对数据进行聚类，以识别相关的、相关的或相似的违规行为。将这两种技术结合起来，你会获得更好的东西。它能够学习忽略哪些假阳性结果，突出哪些真阳性结果，从而将这堆积如山的信息缩减为几颗极具价值的“钻石”。

例如，静态分析能够在一个典型的代码库中揭示成千上万的违规行为，虽然你可能可以识别出数百个缺陷来处理，但你没法在你的时间内修复全部的缺陷。经过AI和ML查找违规热点，你能够经过识别致使全部缺陷的单段代码同时修复多个缺陷。

让SAST培训变得轻松愉快

培训人们使用静态分析工具经常被看作是一个问题。须要对特定的编程语言有深入的理解，才能得到最大的收益。这就是为何Parasoft静态分析解决方案内置了集成的培训、教育和认证计划，以使你的开发人员快速上手，这样他们就能够最大限度地减小报告的误报数量，并将精力集中在重要的工做上，即编写代码而不是筛选警告。

经过减小不相关结果的数量，该工具的采用率将提升。这只是一个培训你的团队的问题，他们将得到他们所需的信息，而无需作任何挖掘。若是你给开发人员三件明显是高优先级和真实的事情来修复，你获得的采纳率会比给他们300个违规行为而只有30个值得解决的缺陷要好得多。并且若是他们的手干净利落，他们会很乐意一次又一次地使用这个工具。而不是上面要求的烦人过程，而是一个值得信赖的顾问和工具。

结语

不管你的静态分析有多少自动化，老是会有人工分流的元素。问题是，在你发现任何有价值的东西以前，你必须深刻多深。可是，经过包含风险元数据并配备AI和ML的工具，使发现和修复缺陷的效率大大提升，你能够在软件开发生命周期的开始阶段快速处理违规行为，以构建安全可靠的软件。