影响静态应用安全测试工具(SAST)分析速度的3个方面

在现代的持续软件开发生命周期(SDLC)过程中，编写代码并将其提交到存储库之前，会进行测试运行代码，其中可能包括单元测试、回归测试或静态应用程序安全测试(SAST)。对于DevSecOps来说，SAST的好处是在开发人员创建和修改源代码之前，它可以提供实时反馈。考虑到当前业务进行的速度，能在短时间内进行反馈意味着可以有更快的周转和进行更多功能性业务。

深度与广度

就所需的计算能力而言，SAST使用的检测器并不都是相同的。分析的时间与用于检测某些类型漏洞的检测器复杂性相关。通常，用于检测命令或SQL注入的复杂污染数据分析相比，编码标准实施规则更容易。因此需要在检测到的错误和漏洞类型上进行权衡。

计算能力

SAST分析时间随计算能力的变化而变化。CPU和内存等更多计算资源会影响分析的时间。在这种情况下，越大越好，为SAST投资额外的硬件可以在生产力方面获得回报。

代码库大小

SAST分析时间也取决于所分析的源代码的数量。根据应用程序的不同，代码库是决定分析深度和广度的一个因素。