Agora vamos conversar um pouco sobre as ferramentas e os tipos de analises disponíveis.
Existem 4 ferramentas em especial que vamos analisar nesse artigo, cada uma representa uma funcionalidade diferente e podem ou não serem utilizadas em conjunto. No titulo de cada uma, vou deixar um link para a documentação oficial, que recomendo a leitura, pois a ideia do artigo é uma pequena explicação para dar uma noção sobre elas.
É uma ferramenta que funciona em conjunto com a IDE ou editor de código, fazendo analises rápidas de código. Com ele, assim que salvar um arquivo, é feita uma analise em busca de possíveis falhas de segurança no código escrito, permitindo uma correção rápida por parte do desenvolvedor.
Permite uma analise estática do projeto, podendo ser iniciada via portal da Veracode, API, ferramentas de CD/CI e linha de comando. Na analise estática, é criado um modelo (numa linguagem compilada, pensamos num binário) que será analisado, buscando falhas no código.
Na analise dinâmica, de uma forma superficial, podemos dizer que é simulado um teste de penetração, ou seja, uma situação onde alguém tentaria por meio da interface do sistema se aproveitar de possíveis falhas. Essa analise é voltada para sistemas WEB.
Valida os componentes externos utilizados, verificando se elas não possuem falhas conhecidas em registros públicos de falhas.
Para entender um pouco mais sobre a analise dos resultados dos usos dessas ferramentas, recomendo consultar a documentação ou ler esse artigo introdutório.
Em cada uma das documentações, vai encontrar todas as informações de uso, ferramentas e tecnologias suportadas.