7 bedste værktøjer til statisk kodeanalyse
Udviklere elsker at skrive kode- De skal. Ellers ville de ikke have valgt deres erhverv. Men hvis der er én ting, der kan gøre deres liv surt, er det en fejlmeddelelse, der kaster deres nye applikationer ud i kaos. Og intet er mere frustrerende for dem end ikke at kunne spore årsagen til fejlene
Det er derfor, de har brug forde syv bedste statiske kodeanalyseværktøjervi er ved at se.
Her er vores liste over de syv bedste statiske kodeanalyseværktøjer:
- SonarQube-REDAKTØRENS VALGEt populært statisk kodeanalyseværktøj, der kan bruges til fejlidentifikation og sikkerhedstest. Dette er en open source-pakke, der er tilgængelig i gratis og betalte versioner til kontinuerlig inspektion af kodekvalitet og automatiske anmeldelser, der kører på Docker over Windows, Linux, macOS og Azure.
- Checkmarx SAST (CxSAST)Et andet populært værktøj i virksomhedskvalitet, fleksibelt og præcist statisk analyseværktøj, der kan identificere sikkerhedssårbarheder i enhver kode tidligt i udviklingsprocessen.
- Synopsis CoverityEt SAST-værktøj til hurtigt at finde og rette fejl som kritiske defekter, sårbarheder og bortfald i overholdelsesstandarder; den er nem at bruge, nøjagtig, skalerbar og integreres godt i udviklingsmiljøer.
- Micro Focus Fortify Static Code Analyzer (SCA)Et statisk kodeanalyseværktøj, der lokaliserer de grundlæggende årsager til sårbarheder, prioriterer problemer efter sværhedsgrad og giver detaljerede løsningsvejledninger; det tilbyder dynamisk applikationstest såvel som kildekodeanalyse.
- Veracode statisk analyseEt statisk kodeanalyseværktøj, der scanner implementeringer grundigt, før de frigives, og giver automatisk feedback og vejledning om løsning af problemer; den kan halvere fejl, og den har et lille digitalt fodaftryk og scanninger.
- Snyk kodeEt hurtigt og effektivt statisk kodeanalyseværktøj, der kan prale af høje scanningshastigheder og bruger semantisk analyse til at finde fejl og sårbarheder; det er et gratis værktøj til individuelle udviklere og små teams.
- Genskift sikkerhedEt kort udviklercentreret statisk kodeanalyse- og fejlfindingsværktøj, der er nemt at bruge; det løser automatisk problemer med et enkelt klik, træner nye udviklere til at lære af forudkonfigurerede rettelser og er gratis til open source
Hvad er statisk kodeanalyse?
Lad os definere statisk kodeanalyse:
Statisk kodeanalyse- også kendt somStatisk applikationssikkerhedstestellerSAST– er processen med at analysere computersoftware uden egentlig at køre softwaren. Udviklere bruger statiske kodeanalyseværktøjer til at finde og rette sårbarheder, fejl og sikkerhedsrisici i deres nye applikationer, mens kildekoden er i sin 'statiske' tilstand - altså når den ikke køres.
Denne proces hjælper med at reducere eksponeringen for interne og eksterne sikkerhedsrisici, giver udviklere mulighed for hurtigt at oprette applikationer og lader virksomheder se, hvor de står med hensyn til overholdelse af industrisikkerhedsstandarder.
Bemærk: For at finde ud af mere om SAST, kan du henvise til ' Hvad er SAST (Static Application Security Testing)? ” – Dette er et indlæg, der giver et omfattende indblik i selve teknologien.
Dette er alt i modsætning tilDynamisk applikationssikkerhedstesteller DAST , hvor eranalyse finder sted, mens applikationen kører.
Hvad giver et enormt statisk kodeværktøj?
Virksomheder og udviklere bør overveje følgende faktorer, når de sammenligner og vælger statiske kodeanalyseværktøjer:
- Lave falsk-positive rater– et spørgsmål er, hvor mange falske positiver brugere af et produkt støder på. Deres værktøj skal hjælpe dem med at spare tid, ikke spilde det på at jagte problemer, der ikke eksisterer. Værktøjet skal også gøre det nemt at håndtere falske positiver, uanset hvor lav forekomsten er, når de (uundgåeligt) støder på dem.
- IDE-integration– brugere skal være i stand til at integrere deres værktøjer i deres eksisterende udviklermiljøer. Dette er afgørende for at måle, hvor tidligt i softwareudviklingens livscyklus ( SDLC ) værktøjerne kan bruges; jo tidligere det kan bruges, jo mere effektivt bliver det.
- Omfanget af automatisering– de bør også spørge, i hvilket omfang den statiske test kan automatiseres i udviklingsmiljøet. SAST er i øvrigt traditionelt blevet betragtet som en af de mere manuelt drevne sikkerhedstestmetoder. Ethvert niveau af automatisering forbedrer effektiviteten.
- Detaljerede rapporteringsmuligheder– Udviklere bør hurtigt kunne finde ud af, hvor de er gået galt, og derefter løse problemerne uden at ty til mere forskning. Et godt værktøj vil ikke kun fremhæve fejl, men også give rigelig dokumentation og træning til bedre forståelse og direkte bidrag til løsning af problemer.
- Prisen- prisen på en SAST skal være værd at værktøjets ydeevne og dets funktioner. Når alt kommer til alt, hvorfor betale for ethvert produkt, når der er et bedre alternativ på markedet gratis?
De bedste værktøjer til statisk kodeanalyse
1. SonarQube
SonarQubeer et af de mere populære statiske kodeanalyseværktøjer derude. Det er en open source platform til kontinuerlig inspektion af kodekvalitet og udfører automatiske anmeldelser via statisk kodeanalyse. Derudover kan den opdage og rapportere fejl, kode lugter , og adskillige andre sikkerhedssårbarheder.
Der er flere funktioner:
- SonarQube integreres med flere platforme, herunder GitHub, Azure DevOps, Bitbucket, GitLab, Docker Support og kodende IDE'er som Eclipse, Visual Studio osv. Visual Studio Code og IntelliJ IDEA.
- Det understøtter også imponerende 25+ programmeringssprog, inklusive C#, Python, Cobol, PHP og Java – for at nævne nogle få.
- Dette værktøj hjælper udviklere med at observere et trestrenget angreb på deres kode ved at undgå fejl eller udefineret adfærd, brud eller angreb og lette kodeopdateringer, hvilket øger udviklingshastigheden.
- Udviklere kan nemt tackle deres fejl og forglemmelser, fordi fejlene er klassificeret efter sværhedsgrad, kortlagt til sikre kodningsstandarder (F.eks. CERT, MISRA og CWE), fuldt dokumenteret og – overordnet – fører til implementering af bedste praksis og forbedring af kodning.
- Den rapporterer også duplikatkode, slappe kodningsstandarder, enhedstest, kodedækning, kodekompleksitet og kommentarer.
- Selvom de fleste brugere, og endda organisationer, vil være tilfredse med den gratis community-version af SonarQube, kan de også vælge mellem et par flere betalte versioner af softwaren, der kommer med forbedrede funktioner og muligheder.
Fordele:
- Selvhostet på stedet eller på Azure
- Nyttigt til kodningsfejlfinding
- Vil køre som en kontinuerlig tester for CI/CD pipelines
- Tilbyder SAST-test for applikationssikkerhed
- Integreres i kodelagre
Ulemper:
- Ingen prisoplysninger
REDAKTØRENS VALG
SonarQubeer vores bedste valg til et statisk kodeanalyseværktøj, fordi dets fire udgaver gør det velegnet til alle typer organisationer. Community Edition er rig på funktioner, herunder sikkerhedsanalyse samt fejlidentifikation, og den er ideel til udviklingsmiljøer. Store multinationale virksomheder kan også bruge dette system, hvor der er flere udrulninger, der sker samtidigt over hele verden. Værktøjet kan nemt integreres i CI/CD-pipelines for at give kontinuerlig test, og integrationerne med projektstyrings- og fejlsporingsværktøjer betyder, at omskrivninger kan planlægges automatisk og holde styr på projektfremskridt, medarbejderallokering og omkostninger. De betalte versioner er tilgængelige for en gratis prøveperiode.
Hent: Få en 14-dages gratis prøveperiode på SonarQube
Officielt websted: https://www.sonarqube.org
DU:Docker over Windows, macOS, Linux og Azure
2. Checkmarx SAST CxSAST
MedCheckmarx,vi har endnu en førende spiller på markedet for statiske kodeanalyseværktøjer. Dens produkt -CxSAST– er et fleksibelt og nøjagtigt statisk analyseværktøj i virksomhedskvalitet.
Det kan identificere hundredvis af sikkerhedssårbarheder i enhver kode. Det bruges af DevOps og sikkerhedsteams til at scanne kode tidligt i SDLC'en for at opdage sårbarheder, compliance-problemer og forretningslogikproblemer - og giver også råd om, hvordan de løses.
Og der er mere:
- Checkmarx kan nemt integreres i IDE'er, servere og CI/CD-pipelines, hvilket betyder, at den kan opdage sikkerhedssårbarheder i kompilerede (DAST) og kildekoder (SAST); den er også kompatibel med over 25 sprog og rammer.
- Det skaleres let, efterhånden som applikationerne fortsætter med at vokse, hvilket giver DevOps-teamene mulighed for at fokusere på de nyere dele af deres applikation uden at bekymre sig om den ældre kode.
- Udviklere kan køre hurtige og nøjagtige trinvise scanninger, når de har brug for det, uden at spilde tid på den kode, der allerede er blevet tjekket.
- Den har brugerdefinerbare forespørgsler til at håndtere selv den mest unikke kode, handlingsorienteret indsigt til hurtigere fejlfinding og en ligetil web-brugergrænseflade, der gør sporingsproblemer til en leg.
- Værktøjets Best Fix Location-funktion lader udviklere rette flere sårbarheder på et enkelt punkt i koden - de kan nemt finde ud af, hvor alle fejlene er og løse dem hurtigt.
Fordele:
- SAST og IAST muligheder
- Tidlig sårbarhedsidentifikation
- Integration i udviklingsmiljøer
- Inkrementelle scanninger
Ulemper:
- Ingen gratis prøveperiode
Anmod om enCheckmarx SAST (CxSAST)demo for GRATIS .
3. Synopsis Coverity
MedSynopsis Coverity Statisk Analyse, kan udviklere se frem til hurtigt at finde og rette fejl i deres kode. Coverity identificerer kritiske softwarekvalitetsdefekter og sikkerhedssårbarheder i kode og eventuelle bortfald i industriens overholdelsesstandarder.
Det er et letanvendeligt, præcist og skalerbart værktøj, der retter fejl i de tidlige stadier af en SDLC.
Ser på flere funktioner:
- Takket være Code Sight IDE-plugin'et giver Coverity udviklere mulighed for at finde og rette sikkerheds- eller kvalitetsproblemer i realtid, mens de skriver deres kode.
- Udviklere er også privilegerede til realtids, nøjagtige og trinvise analyser, der kører problemfrit i baggrunden; de får også vist, hvordan de løser problemerne og sikrer deres kode – lige fra deres IDE'er.
- Værktøjet rammer jorden, da det straks kan begynde at spotte og rette fejl lige ud af kassen - uden behov for justering.
- Det integreres godt i DevOps pipelines via REST API'er og tilbyder kontinuerlig integration ( DER ) og Software Configuration Management ( SCM ).
- Værktøjet tilbyder også en centraliseret aggregeret risikoprofil af hele applikationsporteføljer, mens API'er gør det muligt at eksportere resultaterne til andre risikorapporteringsværktøjer.
- Udviklere kan filtrere identificerede sårbarheder efter kategori, prioritere sårbarheder baseret på deres kritikalitet og administrere overholdelse af sikkerhedspolitik på tværs af teams og projekter.
- De kan også få adgang til trendrapporter eller endda rapporter, der viser alvorlighedsniveauer på forskellige tidspunkter, for at analysere information om projekters sikkerhedsstatus; disse rapporter kan eksporteres for at tjene som bevis for overholdelse, når revisionstidspunktet.
Fordele:
- Nyttigt til CI/CD-pipelines og softwarekonfigurationsstyring
- Bug spotter til udviklingsmiljøer
- Performance analyse rapporter
Ulemper:
- Ingen gratis prøveperiode
Tidsplan aSynopsis Coveritydemo for GRATIS .
4. Micro Focus Fortify Static Code Analyzer
Micro Focus Fortify Static Code Analyzer (SCA)er et statisk kodeanalyseværktøj, der lokaliserer de grundlæggende årsager til sikkerhedssårbarheder i kildekoden, prioriterer problemer efter sværhedsgrad og giver detaljerede løsningsvejledninger til, hvordan de løses.
Dette værktøj tilbyder dynamisk (DAST) applikationstestning samt kildekodeanalyse (SAST).
Her er flere funktioner:
- SCA hjælper udviklere med at finde og rette sikkerhedsfejl i realtid, mens de koder, takket være at det integreres i IDE'er som Eclipse eller Visual Studio.
- Udviklere forbedrer deres sikre kodningsevner takket være dens spillignende træning.
- Udover at understøtte mere end 25 store programmeringssprog og rammer, tilbyder dette værktøj agile opdateringer bakket op af deres interne sikkerhedsforskningsteam.
- SCA integrerer også godt med adskillige løsninger og platforme – med nogle få eksempler, herunder Visual Studio, Bamboo, GitHub, Jira, Slack og SAP.
- Brugere kan bruge den til at overholde standarder via dens brede sårbarhedsdækning – der omfatter over 800 sårbarhedskategorier – som hjælper med at opfylde kravene til f.eks. CWE, DISA STIG og PCI DSS.
- Analyseresultaterne er omfattende og giver udviklere mulighed for hurtigt at bore i kildekodedetaljer og lokalisere komplekse sikkerhedsproblemer; tiden skæres yderligere takket være værktøjets høje nøjagtighedshastighed og maskinlæringsassisteret auditering.
- Værktøjet tilbyder ubegrænset fleksibilitet med dets flere implementeringstilstande - Fortify SAST tilbyder muligheder for lokale, SaaS eller hybridmetoder for at imødekomme enhver virksomheds behov.
- Det giver også mulighed for at skrive tilpassede regler, bruge skabeloner og skabe interne rapportformater for bedre integration og opfyldelse af unikke krav.
Fordele:
- Partner med et dynamisk analyseværktøj
- Live kodningsråd under udvikling
- Integreres i projektstyringsværktøjer og kodelagre
Ulemper:
- Ingen prisliste
PrøveMicro Focus Fortify Static Code Analyzer (SCA) – GRATIS i 15 dage.
5. Veracode statisk analyse
Som navnet antyder,Veracode statisk analyseer også et statisk kodeanalyseværktøj, der scanner implementeringer grundigt, før de frigives til produktion. Derudover giver det automatisk sikkerhedsfeedback og vejledning om løsning af problemer, så udviklere holder sig på toppen af deres arbejde og løser sårbarheder hurtigt.
Lad os se på flere funktioner:
- Værktøjet tilbyder sikkerhedsfeedback i realtid og kan skære fejl i ny kode med omkring 60 procent ved hjælp af en IDE-scanning. Derudover lærer udviklerne konstant, da værktøjet løbende giver dem just-in-time træning i at løse kodefejl.
- Det er et hurtigt værktøj med et let digitalt fodaftryk og påvirker ikke arbejdsgangsplaner, da det fungerer problemfrit i baggrunden.
- Medianscanningstiden er kun 90 sekunder, og når det kombineres med en lav falsk-positiv rate på kun 1,1 procent, bliver det let at se, hvorfor det er et effektivt statisk kodeanalyseværktøj.
- Den kører pipeline-scanninger på hver build og giver hele udviklingsteamet sikkerhedsfeedback på kodeniveau.
- Veracode integreres hurtigt og problemfrit med IDE'er og udviklerværktøjer; den leveres med over 30 out-of-the-box integrationer og API'er og kodeeksempler, som giver mulighed for kontinuerlig scanning i de fleste DevOps-miljøer.
- Udviklerne forbliver på toppen af deres spil ved hjælp af Veracodes prioritering af sikkerhedsproblemer og nem-fix-funktioner – alt takket være dens automatiserede rådgivning og evnen til at rette flere sårbarheder med en enkelt kodeændring.
- Den genererer rapporter om den overordnede vurdering af risikolandskabet med blot et enkelt klik; disse rapporter kan bruges til analyse- og revisionsformål eller som bevis for overholdelse.
- Det kan skaleres nemt, fungerer med over 25 programmeringssprog til desktop-, web- og mobilapplikationer, understøtter en voksende liste med over 100 industrirammer og kan også integreres i eksisterende fejlfindingssystemer.
Fordele:
- Sårbarhedsklassificering
- Ret anbefalinger
- Integreres i udviklingsmiljøer til tidlig detektion
Ulemper:
- Ingen gratis prøveperiode
Tidsplan aVeracode statisk analysedemo for GRATIS .
6. Snyk-kode
Snyk kodeer et statisk kodeanalyseværktøj, som udviklere vil synes er hurtigt og effektivt. Det kan prale af høje scanningshastigheder og anvendelser semantisk analyse at finde flere fejl og sårbarheder – en kombination, der gør dette værktøj meget sympatisk. Det er også GRATIS'for individuelle udviklere og små teams at sikre, mens de bygger.'
Lad os se på dens funktioner:
- Snyk er det ideelle værktøj til virksomheder og udviklere, der foretrækker cloud computing-miljøet – det kan finde og rette sårbarheder i kode, containere, Kubernetes og Terraform , for at nævne nogle få platforme.
- Det er uden tvivl den eneste løsning hidtil, der problemfrit og proaktivt finder og retter sårbarheder og licensbrud i open source-afhængigheder.
- Det er nemt at integrere og fungerer godt med adskillige populære applikationer, IDE'er, programmeringssprog og platforme som Visual Studio Code, Python, Github, Javascript og Docker.
- Den viser scanningsresultater i realtid – og kan prale af, at det kun tager enfemteaf den tid, det tager andre sammenlignelige løsninger at udføre sine scanninger.
- Softwarens omfattende proprietære database er altid opdateret. Det vedligeholdes af et Snyk-forskerhold, der kombinerer offentlige kilder, bidrag fra deres udviklerfællesskab og akademiske verden, proprietære forskningsteknikker og maskinlæring for at holde sig på toppen af nye sårbarheder.
Fordele:
- Gratis version
- Bruger semantiske detektionsmetoder
- Kan undersøge inde i beholdere for at opdage uhensigtsmæssig brug af miljøer
Ulemper:
- Ingen mulighed for selvvært
PrøveSnyk kodetil GRATIS .
7. Omskift sikkerheden
MedGenskift sikkerhed,vi har et udviklercentreret kodeanalyse- og fejlrettelsesværktøj, der er hurtigt og nemt at bruge. Det kan automatisk løse problemer med et enkelt klik – hvilket giver udviklere mulighed for at levere deres løsninger hurtigere. Det giver også nye udviklere mulighed for at lære af præ-konfigurerede rettelser, mens de fortsætter med at udvikle deres kodningsevner.
Lad os se på flere funktioner:
- Selvom udviklere af private projekter skal betale for at bruge dette værktøj, er det stadig gratis for open source-projekter.
- Reshift udfører differentielle scanninger, der gør det muligt for udviklere at blive ved med at tage fat på nye problemer, mens de fortsætter med at bygge deres applikationer og ikke spilde tid på at vente på, at kode, der allerede er scannet og renset, bliver siet igennem gentagne gange.
- Det mærker også opdagede problemer, der ikke anses for at være gyldige sikkerhedstrusler, så sandsynligheden for, at lignende problemer bliver markeret i fremtidige scanninger, reduceres.
- Selvom Reshift-softwarepakken er en SaaS, behøver udviklere ikke at bekymre sig om, at deres arbejdes fortrolighed bringes i fare – deres kildekode forlader aldrig deres byggemaskiner, og alle metadata, der genereres fra kilden, er krypteret både under transport og i hvile. .
- Dette værktøj integreres godt med Github, Bitbucket og Gitlab, hvor projekter kan synkroniseres og scannes ved hver build.
- Brugere kan indstille eller oprette brugerdefinerede sikkerhedspolitikindstillinger for antallet af fundne kritiske, moderate og høje problemer og derefter beslutte, hvornår builds kan mislykkes, hvis antallet overstiger en forudindstillet tærskel.
Fordele:
- Arbejder indenfor udviklingsmiljøer
- Automatisk fejlretning
- Kompilerer kodningstip wiki
Ulemper:
- Gratis udgave kun til open source-projekter
Bestil aGenskift sikkerheddemo for GRATIS .
Fordele ved at bruge et statisk kodeanalyseværktøj
Vi har lige haft et kig på de syv bedste statiske kodeanalyseværktøjer. Lad os nu se, hvorfor udviklere og virksomheder bør anvende disse løsninger:
- Ved hjælp af SAST-løsninger bliver udviklingen af applikationer hurtigere, mens applikationer bliver mere sikre og pålidelige.
- Virksomheder har deres applikationer oppe at køre på kortest mulig tid; de sparer tid og penge – og frigiver mere sikker kode til tiden – alle faktorer, der hjælper deres processer med at blive mere effektive.
- Disse værktøjer hjælper med at skabe bedre udviklere, der udvikler kode hurtigt og gør det uden at udgøre sikkerhedsrisici eller afvige fra industriens bedste praksis.
- De spilder heller ikke tid ved at skulle eftermontere sikkerhed i gammel kode - de gør det, mens det bliver bygget; de har kodeindsigt før udførelse.
- SAST-værktøjer udfører scanninger hurtigt sammenlignet med for eksempel dynamisk analyse (DAST).
- Søgningen efter fejl og vedligeholdelse af kodekvalitet er automatiseret, hvilket hurtigt eliminerer menneskelige fejl på grund af manuel fejlretning.
Statisk vs. dynamisk kodeanalyse
Et punkt, der skal behandles, er, hvorfor udviklere foretrækker at vælge statiske kodeanalyseværktøjer (SAST) frem for dynamiske (DAST).
For det første fejlretter SAST-værktøjer koden, efterhånden som den oprettes, og før den bygges. Dette gør det hurtigere og nemmere at rense koden. De giver også udviklere pædagogisk feedback og chancen for selv at rette koden; dette kan tjene som praktisk træning.
DAST-værktøjer reparerer på den anden side koden ved at give sikkerhedsteams hurtigt leverede forbedringer. Men desværre er de forholdsvis ressourcekrævende og kræver mere ekspertise for at køre.
Værktøjer til statisk kodeanalyse er et must
Virksomheder og deres udviklere bør altid have statiske kodeanalyseværktøjer integreret i deres udviklingsproces. Det er den bedste måde at omdanne kode til applikationer, der bidrager til forretningsprocesser uden at skabe nogen risiko.
Har du brugt et kodeanalyseværktøj? Tror du, vi har savnet en? Lad os vide; efterlad os en kommentar.
Ofte stillede spørgsmål om statisk kodeanalyse
Hvad er statiske kodeanalyseværktøjer?
Statisk analyse scanner gennem kildekoden og leder efter kodningsfejl eller potentielle sikkerhedssvagheder. Denne praksis er også kendt som kildekodeanalyse. Traditionelt er kontrol af kildekode koderens ansvar - det forventes, at sådanne fejl skal rettes for at afskrive kodningsjobbet som fuldført. Mens test traditionelt udføres ved at køre et program, kan kildekodeanalyse udføres, før et program er afsluttet, hvilket giver det fordelen ved at fange fejl tidligt. Brugen af statisk analyse til påvisning af sikkerhedssvagheder øgede betydningen af dette område af QA, og implementering af praksis gennem automatiserede værktøjer fjerner menneskelig overvågning og maksimerer effektiviteten af dyre menneskelige ressourcer.
Hvad analyserer statiske analyseværktøjer?
Statiske analyseværktøjer er nyttige til at fange kodefejl tidligt. De kan fungere, før enhedstest er mulig. Automatiserede værktøjer behøver ikke at være begrænset til at se på programmet isoleret, men kan fremhæve potentielle sikkerhedsproblemer, der kan opstå, når koden er implementeret på specifikke operativsystemer eller integreret i andre applikationer.
Hvem bruger typisk statiske analyseværktøjer?
Statiske analyseværktøjer bruges til at identificere kodningsfejl, og de er derfor særligt nyttige for programmører under oprettelsen af et program
Enhedstest og accepttest kan identificere procedurefejl med programmer ved at køre dem. Brug af statisk analyse først med et automatiseret værktøj kan dog hurtigt opdage almindelige fejl og genbruge programmer til korrektion, før tidskrævende systemtest finder sted.
Ikke alle organisationer er sikkerhedsbevidste, og en ny applikation kan samle salg på trods af tilstedeværelsen af sikkerhedssvagheder. Brugen af statiske analysetools under vurderingen af en softwarepakke til erhvervelse kan være en nyttig måde at identificere usikre systemer, før en virksomhed forpligter sig til at købe det.
Nye sårbarheder opstår hele tiden, og derfor kan en funktion, der bestod sikkerhedstest ved anskaffelse, give svagheder senere, især når den anvendes i nye suiter og miljøer. Statisk kode integreret i operationsprocedurer, såsom inden for en sårbarhedsscanner, kan opdage nye sårbarheder i gammel kode.