固源供应链 | 静态应用安全测试工具检测能力测试结果重磅发布！

经过科学测试及多轮论证研讨，现正式发布SAST工具检测能力测试结果。本次测试基于统一靶标，采用同一时间窗口内全程录屏追溯的公平测评机制，是行业首次对SAST工具的多维度能力全景扫描，旨在为需方工具选型提供参考。共9款产品通过第一阶段“检测能力测试”，晋级至“标准符合性测试”阶段。通过产品如下：

通过产品如下：

测试方法

建立软件供应链安全工具测评新范式

为实现工具能力精准画像，本次测试创新构建标准化测评体系：

统一靶标：覆盖C、C#、Java、PHP四大主流编程语言的多种缺陷，包含真实缺陷、虚假缺陷两类，综合考量漏报、误报，确保测评基准科学、权威。

全程录屏：从靶标下发到结果提交，操作全程视频存档备查，保障测试过程透明、可审计。

多维评价：基于代码缺陷漏报、误报情况，以及检测速度、测试语言覆盖度等指标制定加权评分体系。

测试结果

SAST工具检测能力存在代差

测评结果显示，不同SAST工具的检测效果存在明显差异：

语言适配差异：各工具对代码缺陷的识别效果因开发语言而不同，70%的工具存在“无法识别1-2种主流开发语言缺陷”的情况；

漏洞识别差异：相同测试靶标下，不同工具检测耗时从20分钟到近3小时不等，某些工具已较好平衡检测效率与精度；

上述差异为企业选型提供关键维度参考：开发语言生态匹配度、CI/CD流水线效率需求等，均可通过测评数据锁定最优解。

测试价值

以测促建，让技术价值精准匹配业务需求

本次测评不仅是对工具能力的全面检验，更通过数据化呈现为供需双方架起精准对接桥梁：

安全企业可借测评数据定位技术长板，针对性打磨产品竞争力；

用户可依据开发语言、检测速度等维度，快速锁定适配工具。

生态联动

开启能力进阶通道，深度发挥行业价值

通过检测能力测试的产品，可向联系人报名标准符合性测试，角逐“能力中心合作产品”：

测试重点：依据《电信和互联网软件供应链安全 技术能力建设指南》，聚焦产品功能完备性、部署兼容性、工具易用性；

生态权益：三款及以上产品入选“能力中心合作产品”，共建社区“对外赋能”模式能力中心。

立即行动，让每一分技术价值都被看见，用硬实力赢得市场话语权！

测试活动联系人

徐帅健妮，18801969699（微信同号）

杨文钰，13126702122（微信同号）