SAST vs DAST:如何選擇
在自動化安全測試中最常見的是靜態應用程式安全測試(SAST)和動態應用程式安全測試(DAST)。這兩種工具每個都解決不同的問題,並有自己的一套優缺點,但兩者都旨在軟體開發生命週期 (SDLC)中提高測試應用程式的速度、效率和覆蓋路徑。
什麼是 SAST?
靜態應用程式安全測試 (SAST) 是一種用於軟體開發早期階段的白盒測試,用於確保編碼安全並幫助開發人員在程式碼投入生產之前檢測漏洞。SAST直接面向原始碼,從內到外分析應用程式,在編譯程式碼之前檢查軟體中的缺陷。防止駭客利用易受攻擊的程式碼,並使 DevOps 團隊不必在部署應用程式後修復缺陷。
SAST具有許多明顯的優勢,包括能夠定位問題程式碼並在開發早期發現缺陷。此外,SAST 可以自動化並輕鬆整合到持續整合和持續交付(CI/CD)管道中,以便更頻繁地交付可靠的程式碼。
什麼是DAST ?
動態應用程式安全測試(DAST)與 SAST 相反。DAST在流程的後期使用,DAST工具無法訪問原始碼,並且從外部測試應用程式,就像駭客試圖入侵。因此,DAST通常被稱為黑盒測試。
SAST 優缺點
使用 SAST 進行檢測時,開發人員在程式碼庫中生成邏輯和功能時會收到即時通知。SAST 掃描可識別可被利用的邏輯缺陷。例如,SQL 注入或跨站點指令碼 (XSS) 攻擊。SAST 的缺點會存在一定的漏報,並且對於配置錯誤無法查詢。
DAST 優缺點
DAST 主要優勢是能夠跨多個伺服器、環境(例如雲和本地)、API 端點和其他基礎架構掃描整個攻擊面。但也有一些缺點,如DAST無法直接定位缺陷所在,開發人員很難確定導致出現問題的位置。而且由於它發生在SDLC的後期,所以會導致修復問題的時間成本增加。
SAST vs DAST:如何選擇
測試軟體更全面的方法是同時使用 SAST 和 DAST,在開發人員編碼時執行SAST ,同時將DAST運用在部署到測試環境後掃描軟體。
SAST 和 DAST 工具可幫助操作人員和開發人員瞭解軟體中的關鍵安全問題。例如,SAST可以自動化並用於建立報告,開發人員可以依靠這些報告來快速定位原始碼中的缺陷,然後可以對其進行修復。SAST工具可以生成實時報告,以便在編碼過程中提供即時反饋。可以防止在軟體開發生命週期 (SDLC) 期間出現一連串缺陷。SAST 可用於將 DevOps 和 DevSecOps 結合起來,提供應用程式漏洞的全面檢視,併為開發人員提供修復建議。透過DAST工具查詢SAST無法發現的安全漏洞,查詢軟體執行中可被利用的漏洞。
現代軟體開發和 DevOps 流程對於快速開發程式碼和部署補丁至關重要。但這種快速的過程也意味著忽略一些軟體漏洞。結合使用自動化 SAST 和 DAST 工具,有助於形成更安全的 SDLC,降低應用程式包含可致命漏洞的可能性。
來源:
https://www.beyondsecurity.com/blog/sast-vs-dast-partners-or-enemies/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2952061/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- SAST 與 DASTAST
- SAST、DAST、IAST和RASPAST
- SAST、DAST與IAST各有哪些特點AST
- Scrum vs Kanban,如何選擇?Scrum
- 用於安全測試的SAST與DAST有何不同?AST
- [精選]laravel VS thinkphp, 如何決擇?LaravelPHP
- SAST 與 DAST:靜態和動態應用程式安全測試AST
- Python VS Java如何選擇?Python學習分析!PythonJava
- SAST方案精選AST
- 【董天一】IPFS vs Filecoin: 開發者該如何選擇
- 選擇靜態應用程式測試工具(SAST)的七點清單AST
- 一文洞悉DAST、SAST、IAST ——Web應用安全測試技術對比淺談ASTWeb
- Flask VS Django,選擇哪個框架好?FlaskDjango框架
- 關於VS2008和VS2013中字型的選擇
- 如何選擇CDN
- 【虹科乾貨】Redis Enterprise vs ElastiCache——如何選擇快取解決方案?RedisAST快取
- Laravel vs. Spring Boot:後端開發選擇LaravelSpring Boot後端
- 如何選擇AI晶片?AI晶片
- 如何選擇代理IP?
- 如何選擇jquery版本jQuery
- Golang vs Rust 為後端選擇哪種語言?GolangRust後端
- SAST 如何提高整體安全性?AST
- 高匿代理IP如何選擇?海外代理IP選擇技巧
- 一名軟體測試員的職場抉擇:大廠VS創業公司究竟如何選擇?創業
- 如何選擇IC SAP ERP?
- YAML & JSON &XML如何選擇YAMLJSONXML
- 如何選擇爬蟲工具?爬蟲
- 如何選擇元素定位方式
- 快狗叫車CTO沈劍:開源框架VS自研框架,企業該如何選擇?框架
- 如何選擇評估 JS 庫JS
- 如何選擇Web前端模板引擎?Web前端
- 如何選擇 Web 前端模板引擎?Web前端
- 如何選擇 Linux 發行版Linux
- 如何選擇IO排程器
- 如何選擇網站建設?網站
- yarn or npm 版本固化如何選擇YarnNPM
- 如何選擇物聯網路卡
- 如何選擇天翼云云硬碟硬碟