Некоторые преимущества метода SAST по сравнению с другими методами тестирования безопасности:

• Раннее обнаружение уязвимостей. 24 Анализ кода на этапе разработки позволяет находить проблемы до того, как приложение будет развёрнуто. 4
• Всесторонний охват кода. 2 SAST проверяет весь код и ветви, начиная с базовых функций и вплоть до сложных, не оставляя ни одной части кода непроверенной. 2
• Нет необходимости запускать приложение. 2 SAST работает с исходным кодом, поэтому приложение не обязательно запускать на этапе тестирования. 2
• Стимулирует разработчиков использовать безопасные подходы. 4 SAST предоставляет подробные отчёты, которые можно использовать для аудитов и подтверждения соответствия стандартам безопасности. 4

Некоторые недостатки метода SAST по сравнению с другими методами тестирования безопасности:

• Высокий уровень ложных срабатываний. 13 Инструмент может обнаружить потенциальную уязвимость, которая фактически не существует или которая не представляет серьёзной угрозы. 1
• Ограниченное обнаружение проблем во время выполнения. 2 SAST не обнаруживает проблем, которые возникают при реальном использовании приложения, например, ошибок конфигурации или уязвимости среды выполнения. 2
• Менее эффективен для сложных сред. 2 Могут возникнуть трудности с выявлением проблем в приложениях, которые представляют собой варианты использования, требующие функций, различимых только во время выполнения, таких как многопоточность или даже динамические зависимости. 2
• Отсутствие анализа бизнес-логики. 1 Инструменты SAST не способны в полной мере проанализировать бизнес-логику всего приложения. 1