SonarQube、Coverity、CodeScene、TeamScale 等主要持续检查和静态应用程序安全测试(SAST) 平台之间是否有代表性比较?
问问题
39 次
1 回答
2
虽然我很高兴被证明是错误的,但我认为答案是否定的,没有这样的公开可用的比较,包括商业工具。
第一个原因是商业供应商通常只根据保密协议的条款向潜在客户提供他们的工具。因此,尽管潜在客户经常在购买前进行自己的内部比较,但他们无法公布结果。
第二个原因与您要求进行“代表性”比较有关。我假设您的意思是一个可以准确预测工具在您的开发环境中的执行方式的比较。不幸的是,给定工具的价值通常在很大程度上取决于采用组织的编程语言、开发文化和内部政治。例如,一些工具优先考虑具有低误报率(低噪声),而另一些工具则优先考虑不忽略任何事情(低误报),其中哪个更可取是高度主观和组织相关的。工具设计空间有许多维度在客观上同样不可比,并且工具位于该空间的不同点。
然而,虽然工具供应商需要 NDA 来执行评估,但它通常是免费的(除了您选择花费的任何时间)。如果您在市场上购买商业工具,您可以联系感兴趣的供应商以安排评估。
披露:我是其中一家供应商(Coverity/Synopsys)的前雇员,目前拥有多家供应商的经济利益。
于 2021-10-29T17:17:31.417 回答