ソフトウェア脆弱性を正しく怖がるための「28の真実」

スキャンタイプ別に見た欠陥が残る確率 SCA(Software Composition Analysis)、SAST(Static Application Security Testing)、DAST(Dynamic Application Security Testing)という3種類のスキャンタイプについて調べた。18カ月後を見ると、いずれの手法を採った場合でも25%以上が未解決になっている(提供:Veracode)