萨斯特 伊斯特 达斯特

三种主要应用安全测试方法的概述，用于在软件开发和执行的不同阶段识别漏洞。

定义

SAST（静态应用安全测试）、IAST（交互式应用安全测试）和DAST（动态应用安全测试）是用于发现软件安全弱点的互补方法。SAST在不运行应用程序的情况下分析源代码或编译后的工件，以在开发早期发现编码缺陷。DAST从外部对运行中的应用程序进行探测，模拟攻击以检测运行时漏洞和配置问题。IAST通过在执行过程中监控经过插桩的应用程序，结合代码可见性和运行时行为，提供更丰富的上下文信息。这三种方法共同帮助团队在整个软件开发生命周期中构建更安全的应用程序。

优点

• SAST可在代码运行前的开发生命周期早期发现潜在问题。
• DAST可发现仅在应用程序运行时才可见的漏洞。
• IAST通过结合代码可见性和运行时行为提供更深入的上下文。
• 同时使用三种方法可提高整体安全覆盖率。
• 每种方法针对不同类别的漏洞，减少盲点。

缺点

• SAST可能产生误报，并可能遗漏运行时问题。
• DAST需要运行环境，执行速度可能较慢。
• IAST依赖于插桩，可能影响性能。
• 没有任何一种方法能全面覆盖所有漏洞。
• 设置和配置这些工具可能需要专业知识。

使用场景

• 将SAST集成到CI/CD流水线中以尽早发现编码错误。
• 在预发布阶段对测试环境运行DAST以发现运行时漏洞。
• 在质量保证测试阶段部署IAST代理以关联代码路径与安全问题。
• 综合使用三种方法以满足合规性和安全审计要求。
• 使用交互式测试减少误报并加速修复。