Да, именно так. В статье было указано про «этическую сторону» вопроса работы сервиса и необходимость модерации, так как результаты поиска могут быть использованы неправомерно.

Думаю комментарий связан с частым заблуждением, что в сервис нужно сливать полностью свои исходники. На самом деле сервис принимает на вход относящиеся к вашему коду ключевые слова/имена. Как пример:
пара домен + имя константы -> qiwi.com + AUTH_LDAP_BIND_DN
имя переменной -> qiwiApiToken
имя пакета -> com.qiwi.processing

Бывают случаи, когда влияет значительно. Например публичная часть API, которую используют множество внешних разработчиков, что приводит к большому количеству дублей.
Сервис работает по принципу поиска паттернов, которые должны быть присущи конкретно вашему коду, а не абстрактному коду из github.

Если имеется ввиду время сканированяи, то время распрееляется примерно так
— DAST, как я и говорил, трудно настроить на итеративное сканирование, т.к. придется определить наличие новых входных точек и измененных праметров. Поэтому DAST используем на момент предрелизного регрессионного тестирования. Такой скан на больших проектах может доходить до нескольких часов.
— SAST хорошо подходит для итеративного сканирования, здесь он может занимать буквально несколько минут, т.к. ему понадобится только достроить новые графы, проходящие через новый код.