NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

静态代码分析提供了一种用于安全审查的技术和方法，包括检查代码中的弱点，以及检查是否包含具有已知漏洞、过时或不受支持的库或其他代码。静态代码分析可以用于识别漏洞并实施安全编码规范。在开发过程的早期使用效果最佳，此时每次代码更改都可以自动扫描潜在的弱点。静态代码分析可以提供明确的修复指导，并帮助开发者识别需要修复的缺陷。正确实施静态分析的证据可以包括关键缺陷类型的总缺陷密度、缺陷已由开发人员或安全专业人员检查的证据，以及缺陷已被修复的证据。高密度的被忽略的发现，通常称为误报，表明分析过程或分析工具可能存在问题。在这种情况下，组织会将证据的有效性与来自其他来源的证据进行权衡。