102,4 тыс подписчиков
IAMeter: не ошибается ли SAST-сканер?
Довольно часто можно услышать, что при использовании SAST возникает много ложных срабатываний. Ошибочные результаты можно разделить на две группы.
1) False positive — когда уязвимости нет, но анализатор сообщает о ней.
2) False negative — когда уязвимость есть, но анализатор о ней не сообщает.
Как можно оценить качество работы SAST-инструмента? Ответ простой — посмотреть на количество false positive и false negative срабатываний на заранее подготовленном уязвимом приложении.
Около минуты
7 апреля 2023
534 читали