Al igual que con cualquier herramienta, la compra de parte del resultado está en lo buenos que son los criterios de evaluación, por lo que es importante entender los criterios que las personas pueden usar al evaluar las herramientas de análisis estático de seguridad.
Obviamente, la ponderación de cada criterio dependería de las prioridades de cada empresa, pero la lista podría ser razonablemente genérica.
Algunos criterios que podrían aplicarse son: -
Coste . Un par de componentes para esto serían las licencias de software (por adelantado y anualmente), los costos de hardware para ejecutar el software (suponiendo que no sea SAAS)
Escalado . Capacidad para la herramienta para escalar a entornos más grandes. Los puntos específicos pueden estar relacionados con el intercambio de datos entre desarrolladores, la integración con el seguimiento de errores y los sistemas de control de código fuente ...
Capacidad . Cobertura lingüística, tasas de falsos positivos / negativos.
Personalización . Un área clave para este tipo de software es la capacidad de personalizar el código base específico que se está evaluando (por ejemplo, para tener en cuenta las bibliotecas de validación de entrada a medida), también la capacidad de personalizar los informes y otros resultados.