Synopsys
SDLCにセキュリティテストとコーディング品質の向上を実現することができるツールで、Github ActionsをAPIを介してSAST/SCAをトリガーとすることができます。話が少し外れてしまいますが、Polaris がCoverityやBlack Duckの分析結果をダッシュボードに統合できるのは嬉しいかもしれません。
Veracode
Veracodeは、SAST、DAST、SCA、ペネトレーションテストなどのテストタイプのアプリケーションステータスを1つの集中ビューで可視化できるSaaS型のアプリケーションセキュリティテストサービスです。
Xanitizer
Xanitizerは、RIGS ITによって開発された革新的な静的アプリケーションセキュリティテスト(SAST)ツールです。Githubのリポジトリで実行するとGithubno Security Tabでその結果を確認することができます。「OWASPベンチマークテストスイートで0%の誤警報・脆弱性を100%検出」を実証した発表しています。
10個のツールとその要約を紹介するだけで、大分長い記事になってしまいました。色々組み合わせることができる選択肢が増えたことはとても素晴らしいことです。時間が必要ですが、この中から制度とコストの両面からベストな組み合わせを探していく必要がありそうです。
