综合国内外SAST工具支持的规则，这些规则包括了国际标准、国内标准、行业标准等，这里我罗列了一下，这些规则对应的标准集合。 评估一款SAST工具时，支持规则集的多少，且每个规则集是否为全集，或者接近全集，表明了一款工具的检测能力，而且是否能够对这些规则进行优化，提升检出率，减少误报，漏报。

        对于每一标准中的每一条不管是强制类型、还是建议类型，都至少需要被一条SAST规则所覆盖，如果工具做的简单，就是可能需要多条规则覆盖一条标准项，如果做的更专业一点，则是把需要多条规则映射到一条标准，在检测结果展示中，看到是对每一条标准的覆盖，例如像Coverity出的Misra合规性报告，则是这种映射关系。而国军标GJB  8114、GJB 5369制定后，但是却没有要求出合规性报告，所以执行层面很灵活。而CNAS的代码审计依据的标准GB/T 34943、GB/T 34944、GB/T 34946是偏安全漏洞方面，更没有合规性报告的说法，在执行层面上每家测评中心执行情况也不同，我还记得当初作为CNAS技术负责人申请CNAS测评实验室认证时采用实验室间比对方法，大家对CNAS理解上的歧义。不管大家怎么理解，作为一款工具，支持这些标准才是王者。

        下面我就罗列一下。