在自動化安全測試中最常見的是靜態應用程式安全測試(SAST)和動態應用程式安全測試(DAST)。這兩種工具每個都解決不同的問題，並有自己的一套優缺點，但兩者都旨在軟體開發生命週期 (SDLC)中提高測試應用程式的速度、效率和覆蓋路徑。

什麼是 SAST?

靜態應用程式安全測試 (SAST) 是一種用於軟體開發早期階段的白盒測試，用於確保編碼安全並幫助開發人員在程式碼投入生產之前檢測漏洞。SAST直接面向原始碼，從內到外分析應用程式，在編譯程式碼之前檢查軟體中的缺陷。防止駭客利用易受攻擊的程式碼，並使 DevOps 團隊不必在部署應用程式後修復缺陷。

SAST具有許多明顯的優勢，包括能夠定位問題程式碼並在開發早期發現缺陷。此外，SAST 可以自動化並輕鬆整合到持續整合和持續交付(CI/CD)管道中，以便更頻繁地交付可靠的程式碼。

什麼是DAST ?

動態應用程式安全測試(DAST)與 SAST 相反。DAST在流程的後期使用，DAST工具無法訪問原始碼，並且從外部測試應用程式，就像駭客試圖入侵。因此，DAST通常被稱為黑盒測試。

SAST 優缺點

使用 SAST 進行檢測時，開發人員在程式碼庫中生成邏輯和功能時會收到即時通知。SAST 掃描可識別可被利用的邏輯缺陷。例如，SQL 注入或跨站點指令碼 (XSS) 攻擊。SAST 的缺點會存在一定的漏報，並且對於配置錯誤無法查詢。

DAST 優缺點

DAST 主要優勢是能夠跨多個伺服器、環境(例如雲和本地)、API 端點和其他基礎架構掃描整個攻擊面。但也有一些缺點，如DAST無法直接定位缺陷所在，開發人員很難確定導致出現問題的位置。而且由於它發生在SDLC的後期，所以會導致修復問題的時間成本增加。