SAST、DAST、IAST和RASP
美國國家標準與技術局(NIST)、國家漏洞資料庫(NVD)資料顯示,90%以上的網路安全問題是由軟體自身的安全漏洞被利用導致。不用說,在軟體開發階段消除這些缺陷可以減少當今許多組織面臨的網路安全風險。要做到這一點,有許多技術可以幫助開發人員在軟體上線前發現這些問題,這些工具或技術包括SAST、DAST、IAST和RASP。
SAST 與 DAST
SAST(靜態應用程式安全測試)也被稱為“白盒測試”,已經存在了十多年。它允許開發人員在軟體開發生命週期的早期發現應用程式原始碼中的安全漏洞。在不實際執行底層程式碼的情況下檢測是否符合編碼指南和標準,直接面向所有原始碼,並且可以定位缺陷所在的程式碼行數。OWASP TOP 10 安全漏洞中60-70%的安全漏洞型別可透過原始碼靜態分析技術檢測出來。
DAST,或動態應用安全測試,也稱為“黑盒”測試,可以發現執行中的應用程式的安全漏洞和弱點,通常是web應用程式。透過在應用程式上使用故障注入技術(例如向軟體提供惡意資料)來識別常見的安全漏洞,例如SQL 注入和跨站點指令碼。DAST 可以聚焦靜態分析無法識別的執行時問題,例如身份驗證和伺服器配置問題,以及僅在已知使用者登入時可見的缺陷。
SAST 和 DAST
SAST和DAST經常同時使用,因為SAST不會發現執行時錯誤,而DAST不會標記編碼錯誤,至少不會標記到程式碼行。SAST 可以整合在專案開發流程當中,而DAST 可以理解引數和函式呼叫,可以確定呼叫是否正常執行。
互動式應用程式安全測試 (IAST)
IAST旨在透過結合SAST 和 DAST 兩種方法來解決SAST和DAST各自的缺點。IAST在應用程式中放置一個探針,並在開發過程 IDE、持續整合環境、QA 甚至生產中的任何位置實時在應用程式中執行所有分析。
因為IAST探針在應用程式內部工作,它可以將其分析應用於整個應用程式所有程式碼。其執行控制和資料流資訊、它的配置資訊、HTTP請求和響應、庫及框架和其他元件、以及後端連線資訊。
執行時應用程式安全保護 (RASP)
與IAST一樣,RASP或執行時應用程式安全保護在應用程式內部工作,但它不是一個測試工具,而是一個安全工具。它被插入到應用程式或其執行時環境中,可以控制應用程式的執行。RASP 保護應用程式,即使網路的外圍防禦被破壞並且應用程式包含開發團隊錯過的安全漏洞。RASP允許應用程式對自身進行持續的安全檢查,並透過終止攻擊者的會話並向防禦者發出攻擊警報來響應實時攻擊。
無論在 SAST、DAST、IAST 和 RASP 等技術中遇到什麼挑戰,使用它們都可以構建更安全的軟體,並且比在開發結束時期進行所有的安全測試更高效,更節省成本。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2910995/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- SAST、DAST與IAST各有哪些特點AST
- SAST 與 DASTAST
- 一文洞悉DAST、SAST、IAST ——Web應用安全測試技術對比淺談ASTWeb
- SAST vs DAST:如何選擇AST
- SAST 與 DAST:靜態和動態應用程式安全測試AST
- 用於安全測試的SAST與DAST有何不同?AST
- RASP實踐分析
- SAST方案精選AST
- 淺談DAST,什麼是DAST,開發人員為什麼要使用它?AST
- 被動型IAST工具DongTai初體驗ASTAI
- Java安全之JNI繞過RASPJava
- RSA 創新沙盒盤點| Sqreen——WAF和RASP綜合解決方案
- SAST 如何提高整體安全性?AST
- SAST-資料流分析方法-理論AST
- White Source SAST—資訊保安測試工具AST
- 淺談RASP技術攻防之基礎篇
- 從零開始的Java RASP實現(二)Java
- 從零開始的Java RASP實現(一)Java
- 靜態應用程式安全測試 (SAST) 工具AST
- 靜態程式碼檢測工具(SAST)有哪些作用AST
- IAST技術進階系列(六):API安全治理與防護初探ASTAPI
- 騰訊安全正式釋出RASP+方案——泰石引擎
- 如何高效實施靜態程式碼檢測工具SAST?AST
- IAST技術知識-Java環境Agent部署知識乾貨分享ASTJava
- DAST 黑盒漏洞掃描器 第二篇:規則篇AST
- DAST 黑盒漏洞掃描器 第四篇:掃描效能AST
- DAST 黑盒漏洞掃描器 第三篇:無害化AST
- 淺談RASP技術攻防之實戰[環境配置篇]
- Apache Log4j2,RASP 防禦優勢及原理Apache
- 千方百計|IAST-Java環境Agent部署知識乾貨分享ASTJava
- DAST 黑盒漏洞掃描器 第六篇:運營篇(終)AST
- 淺談RASP技術攻防之實戰[程式碼實現篇]
- 一枚通過引數汙染繞過百度RASP的XSS
- 執行時應用自我保護(RASP):應用安全的自我修養
- 為什麼SAST在軟體開發生命週期(SDLC)中很重要?AST
- 選擇靜態應用程式測試工具(SAST)的七點清單AST
- 影響靜態應用安全測試工具(SAST)分析速度的3個方面AST
- DAST 黑盒漏洞掃描器 第五篇:漏洞掃描引擎與服務能力AST