Análise de código: benefícios e perigos

Um artigo interessante sobre ferramentas de análise estática e dinâmica de código fonte. O artigo defende que apesar dessas ferramentas serem muito importantes para a segurança de aplicações, não podem ser a única medida de segurança tomada e não substituem inteiramente, por exemplo, a análise manual.

‘Dumbing down’ the security profession
Shyama Rose
Zero Day

Excerto: "The usefulness of analysis tools for augmenting security reviews is undeniable. On large code bases it can reduce time investments. It provides insight into the code analysis process and can be used as a guide for reviewers. However, a negative trend is emerging where enterprises are relying solely upon automated approaches to gain insight into risk. This invokes a false sense of security as the relying party is likely unaware of the deficiencies associated with security guarantees that tools promote."