0x00 背景

Microsoft SDL在开发过程的所有阶段都引入了安全性和隐私注意事项，从而帮助开发人员构建高度安全的软件，解决安全合规性要求并降低开发成本。Microsoft SDL中的指南，最佳实践，工具和过程是我们在内部使用以构建更安全的产品和服务的实践。自2008年首次共享以来，由于我们在新场景（例如云，物联网（IoT）和人工智能（AI））方面的不断积累的经验，我们对实践进行了更新。

0x01 DAST产品

对完全编译或打包的软件执行运行时验证将检查功能，这些功能仅在所有组件都已集成并运行时才显而易见。通常使用工具或一组预先构建的攻击或专门监视应用程序行为的内存损坏，用户特权问题和其他关键安全性问题的工具来实现此目的。与SAST相似，没有一刀切的解决方案，尽管某些工具（例如Web应用程序扫描工具）可以更轻松地集成到持续集成/持续交付流程中，而其他DAST测试（例如模糊测试）则需要不同的解决方案方法。

国内：安恒信息、四叶草安全、国舜股份、绿盟科技、知道创宇、盛邦安全（WebRay）、安赛创想、安犬漏洞扫描云平台、启明星辰、经纬信安、上海观安、斗象科技/漏洞盒子/网藤风险感知、恒安嘉新、安识科技、H3C、六壬网安、安码科技、浙江乾冠、禹成在线、聚铭网络、榕基软件、凌云信安、三零卫士、锦行科技、安数云、有云信息、漏洞银行、四维创智

国外：HCL AppScan (原IBM AppScan、AWVS、webinpsect、Netsparker、burpsuite（api对接或者是Burp Infiltrator）

开源：开源：owasp ZAP、openvas、w3af、whatweb、长亭xray社区版、其他一些小工具（如北极熊扫描器等）

0x02 SAST产品

SAST通常集成到提交流程中，以便在每次构建或打包软件时识别漏洞。但是，某些产品集成到开发人员环境中，以发现某些缺陷，例如存在不安全或其他被禁止的功能，却在开发人员积极编码时，替换了那些原本更安全的方法。没有一刀切的解决方案，开发团队应确定执行SAST的最佳频率，并可能部署多种策略，以便在开发产品与足够的安全保障之间取得平衡。

国内：360代码卫士、匠迪技术、SECZONE（开源网安）、三零卫士、能信安（能士we）

国外：Fortify、Checkmarx

开源：jenkins，sonar，pclint，findbug，findsecbug，owasp dependency check、RIPS(PHP)、Seay源代码审计系统、VCG