真正有效的应用程序静态代码扫描和动态代码扫描项目有四大要素：

1、本地扫描

链接到源控制系统的本地扫描项目现在已经不需要开发者花费时间找到代码、进行专门编译、上传代码了。正相反，代码的正确位置是在源控制树中选择的，而且可以为所有的子文件执行常规扫描。本地的动态扫描解决方案还可以使动态扫描更容易，因为安全专家不需要为扫描测试供应商的外部工具变更防火墙规则就可以访问测试网站。

2、连续扫描

可以设置本地系统进行连续扫描，这种扫描不要求人工干预和上传代码。还可以配置本地系统进行更频繁的扫描。

3、与开发周期紧密集成

与源控制和建设系统高度集成的扫描项目可以使代码扫描充分利用许多源控制和建设系统的特性。例如，在开发者的程序版本与主代码库进行集成之前，高级开发团队可以配置建设系统，用以传递某些测试入口。我们可以设置代码的安全扫描测试，使其成为类似于性能测试或单元测试的测试入口。

4、与缺陷跟踪系统紧密集成

现代的源控制和建设系统还应与缺陷跟踪系统紧密集成，只有这样，软件缺陷就可以与特定的代码版本联系起来。如果一个代码扫描项目能够自动创建当前缺陷管理系统的缺陷，就可以节约并无缝地集成到团队的缺陷库中。

有效的主动安全要求代码扫描尽可能平稳地影响应用程序的开发过程。安全扫描在运行时越类似目前的开发过程，开发团队就越容易成功地连续地采用安全扫描。

(责任编辑：)