SAST 與 DAST
-
DAST 和 SAST 工具採用不同的方法來測試應用程式安全性,在軟體生命週期的不同階段工作,並且具有不同的優勢和侷限性。
-
SAST 工具在原始碼中查詢缺陷漏洞,通常在開發早期。
-
DAST 工具掃描正在執行的應用程式中的漏洞,通常在開發後期和生產中使用。
-
應用程式安全性的全面方法包括SAST和DAST。
-
為了在不斷變化的網路威脅環境中保護複雜的Web應用程式,開發團隊通常需要多個應用程式安全工具。其中兩個最重要的工具是靜態應用程式安全測試(SAST)和動態應用程式安全測試(DAST)。在許多情況下,兩者協同工作發揮的作用更強大。
什麼是 SAST?
SAST也被稱為白盒測試。SAST工具透過從內部檢查web應用程式來測試安全性,並透過在開發過程中掃描應用程式原始碼來查詢程式碼缺陷和漏洞。SAST對於在軟體開發生命週期(SDLC)的早期階段查詢和修復程式碼漏洞很有價值。由於SAST工具直接訪問原始碼,因此它們能夠精確地找出存在漏洞的程式碼行。
需要注意的是,SAST工具需要支援所檢測的程式碼語言,如果一個web應用程式是用多種語言編寫的,那麼需要考慮SAST工具是否支援所涉及的語言種類。
什麼是DAST?
DAST 也稱為黑盒測試。DAST工具透過測試已經編寫的 Web 應用程式(在執行時)來查詢漏洞。他們向執行中的應用程式傳送資料,模仿惡意使用者試圖利用漏洞並破壞系統的多種方式。
DAST不需要訪問原始碼,並且可用於測試可透過Web訪問的任何應用程式的整體。也因此DAST還可以測試應用程式元件的安全性,如外掛和應用程式程式設計介面(API)。DAST 還可以檢測執行時問題、配置錯誤、身份驗證錯誤和其他不安全的 Web 應用程式行為。
由於DAST不檢查原始碼,因此通常不能直接在程式碼中定位缺陷。
DAST和SAST有什麼共同點?
SAST 和 DAST 在自動化 Web 應用程式安全測試工作流程中發揮著關鍵作用。已實施持續整合和持續部署 (CI/CD) 和 DevSecOps 方法的組織需要適應軟體的頻繁更改。更重要的是,組織可能同時執行數十個(甚至數百個)Web應用程式,並且某些應用程式可能擁有數百萬使用者分散在世界各地。
在這種情況下,手動進行程式碼審查和滲透測試對於敏捷開發的規模和速度來說耗費時間和成本。開發人員花費大量時間處理安全漏洞,佔用了用來改進應用程式的時間。
SAST 和 DAST 工具有助於自動執行安全測試,快速識別漏洞並確定漏洞的優先順序,並推薦緩解措施。這使得Web應用程式安全測試更加高效,同時還為開發團隊提供了需要優先解決的問題列表。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2930291/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- SAST、DAST與IAST各有哪些特點AST
- SAST、DAST、IAST和RASPAST
- SAST vs DAST:如何選擇AST
- 用於安全測試的SAST與DAST有何不同?AST
- SAST 與 DAST:靜態和動態應用程式安全測試AST
- 一文洞悉DAST、SAST、IAST ——Web應用安全測試技術對比淺談ASTWeb
- SAST方案精選AST
- 淺談DAST,什麼是DAST,開發人員為什麼要使用它?AST
- SAST 如何提高整體安全性?AST
- DAST 黑盒漏洞掃描器 第五篇:漏洞掃描引擎與服務能力AST
- SAST-資料流分析方法-理論AST
- White Source SAST—資訊保安測試工具AST
- 靜態應用程式安全測試 (SAST) 工具AST
- 靜態程式碼檢測工具(SAST)有哪些作用AST
- 如何高效實施靜態程式碼檢測工具SAST?AST
- DAST 黑盒漏洞掃描器 第二篇:規則篇AST
- DAST 黑盒漏洞掃描器 第四篇:掃描效能AST
- DAST 黑盒漏洞掃描器 第三篇:無害化AST
- DAST 黑盒漏洞掃描器 第六篇:運營篇(終)AST
- 為什麼SAST在軟體開發生命週期(SDLC)中很重要?AST
- 選擇靜態應用程式測試工具(SAST)的七點清單AST
- 影響靜態應用安全測試工具(SAST)分析速度的3個方面AST
- 6大優勢、2種型別,一文吃透動態應用安全測試(DAST)型別AST
- undefined與null與?. ??UndefinedNull
- Promise與async/await與GeneratorPromiseAI
- for of 與 for in
- 程式與執行緒、同步與非同步、阻塞與非阻塞、併發與並行執行緒非同步並行
- forms元件補充與ModelForm簡單使用與cookie與sessionORM元件CookieSession
- Python學習筆記 5.0 元組 與 字典 與 集合 與 公共操作 與 推導式Python筆記
- 聊聊執行緒與程式 & 阻塞與非阻塞 & 同步與非同步執行緒非同步
- 進與穩,時代與技術,新基建與華為雲
- jQuery與JavaScript與ajax三者的區別與聯絡jQueryJavaScript
- rpm與yum,at與crontab,sed命令使用
- GRPC與 ProtoBuf 的理解與總結RPC
- Process與Socket,Select與Accept關係
- PHP 與 Swoole 淺析與學習PHP
- Iterator與Iterable(迭代器與可迭代)
- 漏型與源型、PNP與NPN