代码覆盖：测试领域有一句老话，你不能测试你不知道的东西。需要开发人员上传代码的周期外测试同样依赖于开发人员上传正确的代码，以用于静态代码扫描。对于维护该程序的安全团队来说，确保所有库和相关代码被上传几乎是不可能的任务。有效的应用程序静态和动态代码扫描程序有四个关键要素。

·内部部署

·连续扫描

·与开发构建周期紧密整合

·与缺陷追踪系统紧密集成

1.内部部署

内部部署并链接到源代码控制系统的扫描程序不再需要开发人员花时间来寻找代码、进行特殊的编译和上传代码。相反地，开发人员可以在源代码控制树选择代码的正确位置，所有子文件都将进行定期扫描。内部部署的动态扫描解决方案可以简化动态扫描，因为不需要更改防火墙规则来允许扫描测试供应商使用外部工具来访问测试网站。

2.连续扫描

内部部署系统可以设置为连续扫描，这不需要手动来上传代码，内部部署系统还可以配置为连续扫描或定期扫描，因为这种内部部署设置，现在企业可以更为频繁地进行扫描。

3. 与开发构建周期紧密整合

与源代码控制和构建系统紧密集成的扫描程序允许代码扫描利用很多源代码控制和构建系统的功能。例如，使用连续构建集成的高级开发团队可将构建系统配置为：在开发人员的构建被整合或签入到主代码库之前通过某些测试。代码安全扫描测试还可以设置为这些性能测试或单元测试之一。

4.与缺陷追踪系统紧密集成

大多数现代源代码控制和构建系统还与缺陷跟踪系统紧密集成，这样一来，软件缺陷就可以连接到特定版本的代码，这反过来又可以联系到特定系统构建。有些代码扫描程序会在现有缺陷管理系统自动创建缺陷，这能帮助减少周期外时间，并将无缝整合安全缺陷到团队缺陷积压中。

有效的主动应用安全需要代码扫描无缝地整合到应用开发周期，安全扫描越能够像现有开发流程一样工作，开发团队成功部署和持续使用的机会就越大。

(责任编辑：)