SAST、DAST、IAST和RASP

美國國家標準與技術局(NIST)、國家漏洞資料庫(NVD)資料顯示，90%以上的網路安全問題是由軟體自身的安全漏洞被利用導致。不用說，在軟體開發階段消除這些缺陷可以減少當今許多組織面臨的網路安全風險。要做到這一點，有許多技術可以幫助開發人員在軟體上線前發現這些問題，這些工具或技術包括SAST、DAST、IAST和RASP。

SAST 與 DAST

SAST(靜態應用程式安全測試)也被稱為“白盒測試”，已經存在了十多年。它允許開發人員在軟體開發生命週期的早期發現應用程式原始碼中的安全漏洞。在不實際執行底層程式碼的情況下檢測是否符合編碼指南和標準，直接面向所有原始碼，並且可以定位缺陷所在的程式碼行數。OWASP TOP 10 安全漏洞中60-70%的安全漏洞型別可透過原始碼靜態分析技術檢測出來。

DAST，或動態應用安全測試，也稱為“黑盒”測試，可以發現執行中的應用程式的安全漏洞和弱點，通常是web應用程式。透過在應用程式上使用故障注入技術(例如向軟體提供惡意資料)來識別常見的安全漏洞，例如SQL 注入和跨站點指令碼。DAST 可以聚焦靜態分析無法識別的執行時問題，例如身份驗證和伺服器配置問題，以及僅在已知使用者登入時可見的缺陷。

SAST 和 DAST

SAST和DAST經常同時使用，因為SAST不會發現執行時錯誤，而DAST不會標記編碼錯誤，至少不會標記到程式碼行。SAST 可以整合在專案開發流程當中，而DAST 可以理解引數和函式呼叫，可以確定呼叫是否正常執行。

互動式應用程式安全測試 (IAST)

IAST旨在透過結合SAST 和 DAST 兩種方法來解決SAST和DAST各自的缺點。IAST在應用程式中放置一個探針，並在開發過程 IDE、持續整合環境、QA 甚至生產中的任何位置實時在應用程式中執行所有分析。

因為IAST探針在應用程式內部工作，它可以將其分析應用於整個應用程式所有程式碼。其執行控制和資料流資訊、它的配置資訊、HTTP請求和響應、庫及框架和其他元件、以及後端連線資訊。

執行時應用程式安全保護 (RASP)

與IAST一樣，RASP或執行時應用程式安全保護在應用程式內部工作，但它不是一個測試工具，而是一個安全工具。它被插入到應用程式或其執行時環境中，可以控制應用程式的執行。RASP 保護應用程式，即使網路的外圍防禦被破壞並且應用程式包含開發團隊錯過的安全漏洞。RASP允許應用程式對自身進行持續的安全檢查，並透過終止攻擊者的會話並向防禦者發出攻擊警報來響應實時攻擊。

無論在 SAST、DAST、IAST 和 RASP 等技術中遇到什麼挑戰，使用它們都可以構建更安全的軟體，並且比在開發結束時期進行所有的安全測試更高效，更節省成本。