SAST vs DAST:如何选择（sast iast dast）

在软件行业中，多达 38% 的 IT 和信息安全专业人员估计，他们 21% 到 40% 的代码包含漏洞，13% 的人已经在大多数 (61-80%) 代码中发现了漏洞。如何在这些缺陷和漏洞问题成为威胁之前发现它们?常见的应用程序安全测试方法：SAST 和 DAST起到很大作用。

什么是 SAST(静态应用程序安全测试)?

SAST(静态应用程序安全测试)是一种自动的白盒测试，用于检查应用程序代码在其静态(非运行)状态下的潜在漏洞和已知缺陷。在白盒测试中，工具可以完全访问应用程序代码。

SAST 通过预定义检测规则，可以检测源代码并标记检测到的问题的位置。SAST 可以帮助识别缓冲区溢出、暴露的代码密钥、输入验证错误、不安全的基础设施配置和编码规范等问题。

SAST 的主要优势在于，安全团队在代码部署之前将其作为安全 CI/CD 管道的一部分运行。理想情况下，团队在开发人员提交代码后立即执行这些操作，以确保他们在软件开发生命周期(SDLC)的早期解决安全问题。此外，团队可以在进行全面的漏洞扫描或渗透测试之前，将SAST应用于部分应用程序。

什么是 DAST(动态应用程序安全测试)?

DAST(动态应用程序安全测试)是一种黑盒测试(工具无法访问应用程序源代码)，在应用程序运行时检查是否存在漏洞和缺陷。

DAST 工具模拟对系统及其环境的攻击，分析系统的响应，并为开发人员提供有关其应用程序在面对实际攻击场景时的行为方式的见解。通常，安全团队在SDLC的后期运行DAST，传统上是在部署到测试环境之前在CI/CD管道中执行。

DAST优势是识别和标记运行时漏洞，这些漏洞在应用程序代码中可能不是缺陷，但在应用程序运行时可能会变成潜在的漏洞。例如，DAST 可以帮助发现 Web 应用程序中的 XSS(跨站点脚本)和 SQL 注入缺陷，以及服务器端的错误配置和身份验证问题。DAST 对于依赖互联网协议的应用程序很有效果，因为这些通常是恶意行为者的目标。

SAST与DAST:主要区别

实施阶段：SAST在SDLC的前期使用，理想情况下是在每次代码提交时进行检测。DAST在将应用程序部署到测试环境并运行之后。

实施前提：SAST可以直接检测源代码，不需要运行程序，但需要支持检测相关的编码语言和框架，DAST需要将程序部署并可以执行。

测试方法：SAST从内向外检测代码，DAST从外部模仿攻击者进行检测。

检测缺陷类型：SAST检测已知和未知漏洞，DAST检测运行中导致的漏洞。

何时使用 SAST

开发团队通过在 SDLC 的早期使用 SAST进行检测。在代码编译以进行测试之前，提交或预提交阶段有助于及早发现和解决与安全相关的错误和问题。

将 SAST 整合到 CI/CD 管道和DevSecOps流程中，可以通过自动化进行检测来提高生产力。SAST 持续监控进入代码库的每一段代码是否存在不良编码实践，并根据OWASP Top 10、CWE TOP 25等测试一系列漏洞。

使用SAST的另一种情况是涉及到数据隐私的合规性和法规要求，如支付卡行业数据安全标准 (PCI DSS)，SAST 工具可用于识别代码和配置中的敏感数据，确保其得到适当保护和处理，并符合相关法规。

何时使用 DAST

当可执行应用程序在响应多种输入的动态环境中运行时，DAST就会发挥作用。安全团队利用DAST查明应用程序后端中影响运行时功能的错误配置，以及由集成问题引起的漏洞。此外，DAST有助于测试应用程序的API和Web服务，并评估其运行的基础设施的安全状况。

由于测试需要完全运行且可执行的应用程序，因此最好在将应用程序部署到预生产测试环境后运行 DAST 。当作为 CI/CD 管道的一部分集成时，DAST 可以成为运行时应用程序和基础设施安全的全天候监控工具，保护应用程序免受 XSS 和 SQL 注入攻击。

SAST 和 DAST 并不相互排斥，而是在SDLC的不同阶段在应用程序安全测试策略中扮演两个不同的角色。在 DevSecOps 管道中使用 SAST 和 DAST 可以更全面地了解应用程序的安全状况。这些工具相互补充并解决彼此的限制，从而显著地增加了安全性测试的覆盖率，最终降低了应用程序欺诈的风险。

国产工具中科天齐静态代码检测工具WuKong，拥有自主知识产权，可以集成在开发流程中检测编码规范及安全漏洞。帮助开发人员在不增加研发成本的前提下，降低交付不安全代码的风险。

参读链接：

https://spectralops.io/blog/sast-vs-dast-which-one-do-you-really-need/