A discussão em torno de qual é superior – digitalização de código binário ou fonte – atormentou o mercado de análise estática desde a sua criação. Um scanner de código-fonte analisa o código não compilado, enquanto um analisador binário analisa o código compilado, mas no final, o resultado é o mesmo. Eles são simplesmente duas soluções de engenharia para o mesmo problema. No entanto, como uma parte fundamental das abordagens dos vendedores para SAST, é uma área que as organizações são obrigadas a considerar no processo de seleção.

Durante este debate de uma década, houve mitos perpetuados para ambos os métodos, tornando os tradeoffs mais difíceis de dissecar. Em última análise, quando considerado no vácuo, a análise perde os componentes principais necessários para resistir a um abrangente programa AppSec, como escalabilidade, eficiência e pessoas, processos e programas necessários para suportar uma equipe bem sucedida do AppSec. Neste blog, procuro esclarecer alguns dos mitos que envolvem a análise binária, esclarece por que a CA Veracode optou por esse método e dá-lhe os fatos que você precisa durante o processo de avaliação da sua organização.

 

Leia a matéria completa: http://www.veracode.com/blog/intro-appsec/appsec-buyers%E2%80%99-insights-binary-vs-source-code-scanning