It is in my humble opinion that there are many, many tools required at different places and times in the IT security lifecycle. And that nothing provides 100% coverage. However, each of the tools does have a place and incrementally help to reduce risk to acceptable levels. <div>

<br></div><div>In my humble opinion SAST has the most promise as a compiler integrated function - that provides analysis at compile time when static trees are already built and should happen right along side syntactical and lexical analysis. I believe such compile-time integration would slightly raise the bar; and drive back some problems to the place where they are known to be most inexpensive to address, like - data input validation - why doesn&#39;t it happen?<br clear="all">

<span style="border-collapse:collapse;font-family:arial, sans-serif;font-size:13px"><br><br></span><div><span style="border-collapse:collapse;font-family:arial, sans-serif;font-size:13px">-- <br><a href="http://about.me/dennis.groves" target="_blank">Dennis Groves</a>, MSc</span><div>

<span style="border-collapse:collapse;font-family:arial, sans-serif;font-size:13px"><a href="mailto:dennis.groves@owasp.org" target="_blank">dennis.groves@owasp.org</a></span></div><div><div style="text-align:left"><font color="#999999" face="arial, sans-serif"><span style="border-collapse:collapse"><span style="font-family:arial;border-collapse:separate;color:rgb(0, 0, 0)"><br>

</span></span></font></div><div style="text-align:left"><font color="#999999" face="arial, sans-serif"><span style="border-collapse:collapse"><a href="http://www.owasp.org/" target="_blank"><img src="http://www.owasp.org/skins/monobook/ologo.png" width="200" height="36"></a><br>

</span></font></div></div><br></div></div>