应用错误收集

没有任何工具能够与优秀的代码审核者或渗透测试人员相匹配。但是有一些技巧可以让你瞄准正确的方向：

HP Fortify，IBM AppScan和CheckMarx等静态分析工具在查找代码安全问题方面做得非常出色。但是你真的需要一位经验丰富的代码审查员来充分利用它们。而且，它们并不便宜！这些工具通过扫描代码来运行，主要要求是为工具提供构建软件所需的一切（至少Fortify和AppScan就是这种情况，不确定CheckMarx是否符合相同要求）。
对比度等IAST工具也不便宜。但至少在Contrast的情况下，他们特别试图让它更适合开发人员。 IAST工具可以在您的测试环境中连接到您的二进制文件，并查看发生的不良事件。
动态分析工具，如OWASP ZAP（免费）和Burp（不是免费的，但价格合理）可以在您的环境中运行自动扫描，但如果您缺乏这些经验，那么您的价值是有限的。这些工具通过在测试环境中扫描并发送恶意负载以查看服务器如何响应来工作。为了使ZAP在持续集成构建环境中工作，我们付出了很多努力。

所有这些都适用于您正在使用的技术。