靜態(tài)應用程序安全測試（SAST）和動態(tài)應用程序安全測試（DAST）都有助于確保您的軟件安全并防范漏洞，這使得DevSecOps過程更容易。本篇文章解釋了SAST與DAST之間的區(qū)別，幫助您更好地了解它們分別應該在何時使用。

SAST與DAST的主要差異

這兩種工具都是用于識別軟件安全漏洞的，但是，它們的工作方式非常不同。每種方法都有不同的優(yōu)點，可以找到不同類型的漏洞，具體取決于您處于軟件開發(fā)過程中什么階段。在理想的情況下，您會希望在安全測試工具包中同時使用這兩種工具，并了解如何最好地單獨和結(jié)合使用它們。

靜態(tài)應用程序安全測試（SAST）通常在軟件開發(fā)過程的早期檢測安全漏洞，并可以精確定位這些問題的確切位置，提供有關(guān)漏洞嚴重程度的詳細信息。這為開發(fā)人員節(jié)省了大量時間，把他們從手動查找、修復問題的麻煩中拯救出來。

動態(tài)應用程序安全測試（DAST）通常在開發(fā)過程的后期進行，分析處于動態(tài)（或運行）狀態(tài)的應用程序。這種類型的測試可幫助開發(fā)人員從用戶的角度了解應用程序如何運行，而不需要了解軟件的工作原理及其背后的編程理念。在不同的應用程序運行時，DAST大范圍地測試輸入和輸出，動態(tài)地檢測它們的漏洞。

理想情況下，SAST和DAST應該一起使用，以便在整個軟件開發(fā)生命周期（SDLC）中覆蓋盡可能多的漏洞。為了讓您了解何時以及如何將每種測試方法的作用發(fā)揮到最大，以下將闡述SAST與DAST之間最顯著的差異。

何時應該使用SAST而不是DAST

您需要了解：

白盒安全測試

SAST通常被稱為白盒安全測試，這意味著開發(fā)人員可以訪問軟件的底層框架、設計和實施情況。SAST工具會從內(nèi)到外測試軟件，幫助開發(fā)人員消除對于使用行業(yè)標準的偏見，并找出您在可預測故障條件之外可能未考慮到的問題。

預編碼簽入檢查

作為持續(xù)集成（CI）最佳實踐的一部分，在提交代碼之前就執(zhí)行預編碼簽入讓您可以共享和接收反饋，以及在SDLC早期持續(xù)測試更改。當在集成開發(fā)環(huán)境中運行預編碼簽入檢查時，SAST工具能夠自動化執(zhí)行此過程，快速查找出bug，以便輕松修復它們，并保持高質(zhì)量的代碼。

Jenkins流水線質(zhì)量門限檢查

在?流水線中構(gòu)建質(zhì)量門限，確保在您有機會解決這些問題之前，重要故障不會先進入下一個步驟。您可以添加靜態(tài)分析作為質(zhì)量門限檢查標記的一部分，并使用SAST工具來幫助您確定質(zhì)量門限的標準，以及查找導致質(zhì)量門限失敗的錯誤。

夜間掃描

SAST可以在軟件開發(fā)的所有階段執(zhí)行，包括服務器夜間構(gòu)建。夜間靜態(tài)分析掃描是持續(xù)監(jiān)控代碼運行狀況的好方法，當您離開辦公桌時，更徹底的SAST分析可以識別您可能錯過的漏洞，讓您有時間在工作時間修復它們。

必須有源代碼

這種類型的工具不需要您運行軟件來分析其漏洞。相反，它會分析您的源代碼、字節(jié)碼和二進制文件，無需執(zhí)行任何內(nèi)容，還將提供最快速反饋且只需要最少的工作量。

在開發(fā)早期發(fā)現(xiàn)漏洞，修復成本較低

這種類型的工具能夠在您寫代碼時掃描它。這有助于確保盡快識別安全漏洞和編碼錯誤，也使得解決這些問題更容易、更快、成本更低。

無法識別與時間和環(huán)境相關(guān)的問題

由于此類工具掃描的是靜態(tài)代碼，因此它無法識別與時間和環(huán)境相關(guān)的漏洞。

通常支持所有類型的軟件

您可以使用這種類型的工具來分析大多數(shù)類型的軟件，包括嵌入式軟件、企業(yè)應用程序、移動應用程序、Web應用程序和Web服務。

何時使用DAST而不是SAST

以下是您需要了解的內(nèi)容：

黑盒安全測試

與SAST相反，DAST通常被稱為黑盒安全測試，從外到內(nèi)測試應用程序。您無權(quán)訪問軟件的底層框架、設計和實施情況，因此內(nèi)部細節(jié)是模糊的。這種測試方法可以幫助您了解不良行為者可能的入侵方式。

需要一個運行中的應用程序

DAST工具要求您運行軟件來分析其漏洞。

在開發(fā)后期發(fā)現(xiàn)漏洞，修復成本更高

DAST工具只分析可以編譯和運行的軟件，這意味著它只能在開發(fā)后期識別漏洞。這使得修復錯誤變得更加困難、耗時，因此成本更高。

能夠識別與時間和環(huán)境相關(guān)的問題

由于DAST工具使用動態(tài)分析來檢查您的軟件，因此它能夠識別與時間和環(huán)境相關(guān)的問題。

SAST的優(yōu)勢是什么？

以下是這類工具的主要優(yōu)點：

• 通過查找國際公認的安全、防范和質(zhì)量編碼標準已知漏洞的方式來發(fā)現(xiàn)問題；

• 早期缺陷檢測和修復，從而降低修復成本；

• 左移方法——隨時隨地提供分析，包括開發(fā)人員桌面和 CI/CD流水線；

• 易于自動化、可擴展并自動提供最高級別的代碼覆蓋率；

• 反饋速度很快，并提供漏洞的確切位置及其原因。

DAST的優(yōu)勢是什么？

以下是這類工具的主要優(yōu)點：

• 應用程序運行時，在整個系統(tǒng)環(huán)境中，對其進行整體分析；

• “透視”應用程序內(nèi)部，動態(tài)分析執(zhí)行邏輯和實時數(shù)據(jù)；

• 獨立于語言和源代碼；

• 檢查內(nèi)存消耗和資源使用情況；

• 嘗試從外部破解加密算法；

• 驗證權(quán)限以確保隔離權(quán)限級別；

• 檢查跨站點腳本、SQL注入和Cookie操作；

• 測試第三方界面中的漏洞；

• 理解參數(shù)和函數(shù)調(diào)用；

• 記錄應用程序執(zhí)行，用于事后測試失敗分析；

• 捕獲硬應用程序故障；

• 基于腳本、無人參與的動態(tài)分析。

將兩者結(jié)合用于您的安全計劃

作為有效安全計劃的一部分，SAST和DAST應該一起使用，因為它們能夠識別對方可能無法識別的漏洞。

SAST在開發(fā)早期測試源代碼。越來越多的企業(yè)正在將SAST測試整合到其CI和CD流水線中，以便他們盡早并經(jīng)常發(fā)現(xiàn)源代碼漏洞。

DAST無法訪問源代碼，而是在軟件已經(jīng)運行時對其進行測試，發(fā)現(xiàn)惡意行為者可能試圖利用的安全漏洞。

但是，沒有哪種測試方法在本質(zhì)上比另一種更好。為了進行全面的應用程序安全測試，兩者都是必需的。使用SAST和DAST自動化工具將這兩種測試方法集成到您的流水線中，有助于確保代碼安全，而不會犧牲代碼質(zhì)量或交付時間。

使用Perforce SAST工具Klocwork，確保軟件安全和項目成功

Perforce提供用于C、C++、C#、Java、JavaScript、Python和Kotlin的SAST工具Klocwork，可以幫助您在早期識別安全、質(zhì)量和可靠性問題，強制遵守編碼標準，確保代碼免受安全漏洞的影響，且降低修復成本。Klocwork的設計易于擴展到任何規(guī)模的項目，提高您在編寫代碼時自動進行源代碼分析的能力。

文章來源：http://bit.ly/3J5hVRh