使用checkmarx分别对java、php、android程序源代码进行安全扫描,结合日常工作中使用的商业安全工具,比对结果如下:


    静态代码扫描软件可以起到辅助扫描和质量监控作用,企业需要根据漏洞经验建立接地气的内部“owasp-own-10”, 安全人员仍需花费大量实践指导开发人员如何解决安全编码问题。由于企业内部使用大量框架,工具默认规则不能跟进调用和安全API,导致误报漏报较多。大厂仍需自研代码审计平台,联动业务发布和工单流程,将代码审计合入持续集成环节,作为SDL的一个小点。