Обложка канала

habr.com

37749 @habr_com

Официальный канал Хабра

habr.com

3 года назад
Открыть в
IAMeter: не ошибается ли SAST-сканер? Довольно часто можно услышать, что при использовании SAST возникает много ложных срабатываний. Ошибочные результаты можно разделить на две группы. 1) False positive — когда уязвимости нет, но анализатор сообщает о ней. 2) False negative — когда уязвимость есть, но анализатор о ней не сообщает. Как можно оценить качество работы SAST-инструмента? Ответ простой — посмотреть на количество false positive и false negative срабатываний на заранее подготовленном уязвимом приложении.