Come per qualsiasi acquisto di strumenti, una parte del risultato è la qualità dei criteri di valutazione, quindi è importante comprendere i criteri che le persone potrebbero utilizzare per valutare gli strumenti di analisi statica della sicurezza.
Ovviamente la ponderazione su ciascun criterio dipenderebbe dalle priorità delle singole società, ma l'elenco potrebbe essere ragionevolmente generico.
Alcuni criteri che potrebbero essere applicati sono: -
-
Costo . Un paio di componenti per questo sarebbero le licenze software (in anticipo e annuali), i costi hardware per l'esecuzione del software (supponendo che non sia SAAS)
-
Scaling . Capacità per lo strumento di scalare in ambienti più grandi. Punti specifici potrebbero riguardare la condivisione di dati tra sviluppatori, l'integrazione con il bug tracking e sistemi di controllo del codice sorgente ...
-
capacità . Copertura linguistica, falsi positivi / negativi.
-
Personalizzazione . Un'area chiave per questo tipo di software è la capacità di personalizzare la base di codice specifica che viene valutata (ad esempio, per tenere conto delle librerie di convalida dell'input personalizzate), anche la possibilità di personalizzare i report e altri output.