源碼掃描工具挑選擇的關鍵

• 確定需求：

  在開始選擇之前，請明確您的需求。您是更關心程式碼品質，還是希望優先解決安全性弱點？ 或者您希望兼顧兩者？清晰的需求有助於縮小選擇範圍，找到更符合實際情況的工具。 比如說很多公司都會以政府標案或銀行標案的要求來找源碼掃描工具，這時就很簡單， 應讓要找和開標單位相同的工具或更嚴格的工具，否則無法通過該單位的驗收。

• 支援的程式語言：

  
  

  確保選擇的工具能夠支援項目所使用的程式語言。有些工具可能擅長某一種語言， 而另一些可能廣泛支援多種語言，確認您目前的專案(Project)使用那些程式語言， 未來可能會再加入那些語言，如果我無法確認是否會加入那些語言， 則會選擇支援語言最多的掃描工具，因為這代表著這個工具在新的程式語言產生的 時候也能很快的支援。

• 掃描精度：

  
  

  了解工具的掃描精度和漏報率。選擇一個能夠提供準確報告的工具， 減少誤報(False Positive)和漏報(False Negative)的風險， 如果二者無法決擇時，我會以漏報率低的工具為主，因為如果誤報， 仍然可以找有經驗的顧問判讀，而漏報則不會出現在報表上， 而這也成為駭客攻擊的弱點。

• 整合能力：

  
  

  考慮工具是否容易整合到您的開發流程中。整合性強的工具通常能夠更好地與版本控制、 持續整合(Continuous Integration,CI)和持續部署(Continuous Delivery,CD)工具整合， 例如您使用GitHub，這時你不要去找一個只支援Jenkins的工具。

• 弱點規則包的支援

  
  

  查看工具是否定期更新其弱點規則包，以便檢測最新的安全漏洞。 這能確保您的程式碼保持最新的安全性，就像你的防毒軟體一樣， 你必需更新防毒軟體的病毒碼一樣，弱點規則包就是源碼掃描工具的病毒碼， 像是病毒隨時在更新一樣，駭客的攻擊手法也一直在改變， 所以規則包的更新，可以讓你的程式碼更安全。

• 性能和效率

  
  

  在現代開發中，效率是不可忽視的因素。一些工具可能對專案(Project)產生較大 的性能影響，而另一些可能在速度和效能方面更為優越； 掃描的效能會隨著程式碼的大小、語言及程式寫法等等而不同； 所以在做概念驗證(POC,Proof Of Concept)時，儘量選擇且同樣的程式碼來做掃描， 否則你無法比較效能，甚至誤報和漏報都無法比較。

• 報告和可視化

  
  

  查看工具生成的報告和可視化界面。清晰的報告能夠幫助開發團隊更容易理解和 解決問題。一開始接觸源碼掃描工具時看不懂報告，所以建議可以請有經驗的顧 問來幫你分析。

• 社群支援和文件

  
  

  考慮工具是否有活躍的社群支援和豐富的文件。這有助於解決問題、 分享經驗和獲得支援。

• 成本

  
  

  最後，考慮工具的成本。有些工具可能是商業化的，而另一些可能是開源的(Open Source)。 請確保您的預算能夠支持所選擇的工具。當然開源的工具，可能缺乏專業的團隊來維護弱點 規則包，而無法真正找出關鍵的弱點；如果您有概念，就應該知道成本並不只單純掃描工具 的成本，還有其他成本是您必需考量的；