SAST(Static Application Security Testing)とは?
SASTは「Static Application Security Testing」の略称で、アプリケーションのコードを静的に解析し、セキュリティ上の脆弱性を検出するテストのことである。本記事ではSASTを実現するためのツールを比較してみる。
SASTツール一覧
選定条件
- OSSである。
- GitHub,GitLab,BitBucketなどのVCSでソースコードが公開されている。
- GitHubスター100以上である。
- ドキュメントが存在する。
| ツール名 | 動作環境 | ライセンス | サポート対象言語 | ドキュメント |
|---|---|---|---|---|
| Bandit | Python | Apache2.0 | Python | あり |
| Brakeman | Ruby | MIT | Ruby | あり |
| FindBugs | Java | Apache2.0 | Java | あり |
| RIPS | PHP WebServer WebBroser |
GPL3.0 | PHP | READMEのみ |
| PMD | Java | BSD | Apache Velocity HTML Java JavaScript Kotlin PLSQL Salesforce.com Apex and Visualforce Scala Swift XML XSL |
あり |