提供3000多款全球软件/控件产品
针对软件研发的各个阶段提供专业培训与技术咨询
根据客户需求提供定制化的软件开发服务
全球知名设计软件,显著提升设计质量
打造以经营为中心,实现生产过程透明化管理
帮助企业合理产能分配,提高资源利用率
快速打造数字化生产线,实现全流程追溯
生产过程精准追溯,满足企业合规要求
以六西格玛为理论基础,实现产品质量全数字化管理
通过大屏电子看板,实现车间透明化管理
对设备进行全生命周期管理,提高设备综合利用率
实现设备数据的实时采集与监控
利用数字化技术提升油气勘探的效率和成功率
钻井计划优化、实时监控和风险评估
提供业务洞察与决策支持实现数据驱动决策
翻译|行业资讯|编辑:黄竹雯|2019-09-06 15:29:49.840|阅读 823 次
概述:人们常说SAST和DAST是相辅相成的,所以随后就建议两者都使用,其实这并不一定是互补的,因为它只是做两件不同的事情。但您可以以互补的方式将SAST和DAST结合起来,通过利用DAST最大化SAST的价值。
# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>
SAST和DAST之间实现真正协同作用的潜力来自您的SAST和DAST工具,这些工具以真正驱动安全设计应用程序安全方法的核心方式相互支持。所以它不是SAST vs DAST,而是DAST-SAST。
那么是如何运作的呢?让我们从基础开始讲。
SAST是静态应用程序安全测试,即在不运行应用程序的情况下分析应用程序。从人工审核到指标分析,模式分析再到数据流分析,有多种方法可以做到这一点。这被认为是白盒测试。最常见的是,SAST用户关注数据流分析,因为它使他们能够在应用程序完成之前查找受污染数据等安全问题。
在静态分析的早期阶段,不但强调不仅要发现错误,还要发现可疑或有风险的代码结构以及执行软件工程标准。在安全领域,SAST主要是指流量分析。基本上SAST用于查找漏洞,类似于DAST,但在SDLC(软件生存周期,软件开发生命周期)中较早。
更早的测试更好,因为它的成本要低得多,所以SAST的主要优点是它可以提前完成——早在整个应用程序或系统准备好之前。通过SAST,您可以深入了解代码,从而准确了解代码涉及的问题。
在缺点方面,使用SAST,您的测试不是针对真实系统,并且工具必须合成数据以尝试驱动功能或数据路径的覆盖。因此,SAST工具存在误报问题,这意味着它们可以告诉您一段代码在实际安全时是不安全的。此外,SAST工具通常特定于特定语言。这使得构建和维护成本高昂(主要是工具供应商的问题),并且意味着您需要为应用程序中使用的每种语言提供工具。
DAST是动态应用程序安全测试。这意味着通常通过其输入和接口测试工作应用程序(或设备)。通常这是黑盒测试,在某种意义上说,您正在使用该应用程序而不深入了解其内部(源代码)。
DAST的最大优点是,这些显然是真实的测试,考虑到端到端的完整应用程序和/或系统。其次,DAST测试不依赖于对代码的深入了解,并且工具不需要对每种语言的特定支持。
另一方面,DAST的最大缺点是它不包含对代码的深入了解。这意味着当您发现问题时,可能需要一些实时和精力来精确缩小导致问题的底层代码。
此外,DAST是一种“测试”技术,意味着它发生在设计和编码之后。因此,这是验证应用程序是否安全的一种非常好的方法,但如果它是用于保护软件的主要方式,那么您真正尝试在应用程序中测试安全性,这是一项麻烦的任务。您无法在应用程序中测试安全性,也无法在应用程序中测试质量 - 这就是为什么像GDPR这样的新法规和即将出台的FDA指南依赖于安全设计方法。
拥有强大的SAST策略,将早期检测检查器与CWE等弱点以及CERT等安全编码标准相结合,是保护应用程序和防止重复出现相同安全问题的最完整方法。但是为了补充DAST,我们可以将SAST与DAST正在做的事情联系起来,通过从DAST获得的信息告知我们的SAST活动。
为了更好地理解它是如何工作的,我喜欢将软件看作装配线,并从生产线的最后开始,使用3步改进过程来确保安全性。第1阶段总比没有好,但它远没有第3阶段那么好。
应用程序安全性的第一阶段都是DAST。对于应用程序安全性,我们采用最终的应用程序,在发布之前构建,然后对其进行攻击,尝试以任何方式进行攻击 - 这是DAST。如果我们找到了什么,我们会评估它是多么令人讨厌,并在我们可以的时候进行修复,在必要的时候释放。关于这个问题本身就存在一个很大的话题(发布具有已知弱点和漏洞的软件),但我会将其留下后续再说。
因为这个测试结束了,总是有时间压力,以及寻找和修复潜在问题的额外难度,但是做这个测试肯定比完全不做更好,所以这是一个好的开始。
应用程序安全性改进之路的第二阶段增加了SAST,以解决周期性问题。如何在应用程序准备好之前启动安全测试?SAST就是我们的答案。SAST检查器可以在我们有代码后立即运行。SAST中的数据流检查器通常可以直接与DAST发现的问题类型相关联,因此很容易知道在SAST发现弱点时要查找什么以及它意味着什么。
这是一个很好的下一步,因为我们不仅有更多的时间来修复,而且测试更靠近源,因此找出出错的时间要短得多。我们的SAST现在正在进行DAST的工作并提前完成。
数据流实际上只是在进行更多的测试安全性,因此我们如何进入下一个级别并将SAST与DAST相结合以相互补充?第三阶段是我们实际意识到将两种工具结合使用的价值。
要将SAST与DAST转移到完全互补的情况,我们可以从DAST获取结果来通知我们的SAST,调整我们的静态分析规则配置并告诉我们需要寻找哪些类型的安全漏洞。通过这种方式使用DAST,它可以使SAST告诉我们我们需要的安全漏洞来源,我们如何缓解它们以及我们如何以不会发生的方式进行编码。
那么这是如何工作的呢?首先,我们需要使用DAST的结果执行根本原因分析。例如,使用SQL注入,我们需要确保数据在进入时进行清理,因此我们不必依赖于通过无数路径追踪数据以查看它是否可以逃避清理。我们还需要查看CERT中的SAST标准,以便我们既可以避免可能有效但又不安全的构造,也可以强制执行可以加强我们应用程序的良好行为,即使它们在正常(不安全)编程中可能不是必需的。适当的SAST规则可以防止DAST出现问题,我们不断向DAST学习如何配置和调整SAST。
通过一起使用SAST和DAST,您最终会得到我认为的故障安全心态。因此,例如,在没有安全设计的情况下,在GDPR之前,我们存储了所有用户数据而没有加密,然后讨论了哪些特定数据值得额外保护,如密码或社会安全号码。在安全设计,故障安全的环境中,我们采取相反的方法并加密所有内容,然后讨论不加密的安全措施。这样,默认行为是安全的或“故障安全的”,并且您成功地最大化了SAST和DAST。
所以要小心!进行类似DAST测试的SAST检查器是那些能够吸引用户和分析师兴趣的检测器,但更大的价值来自于执行适当安全行为的无聊的基于标准的检查器。这些检查器将您从后期测试转移到早期检测,并且一直到实际的预防性编码标准,这些标准会强化您的应用程序。SAST可以通过提供早期缓解来补充DAST,并允许DAST主要用于验证应用程序是否安全,而不是试图破坏应用程序。
如果您正在寻找具有所有这些功能的解决方案,请查看Parasoft。免费试用版可供您在您的组织中试用。
想要了解Parasoft、Parasoft SOAtest、Parasoft Virtualize更多信息或资源的朋友,请
本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@cahobeh.cn
文章转载自:通过提供强大的3D CAD数据访问工具并适用于桌面、移动和Web的高级环境3D可视化发动机,HOOPS在提升造船设计和制造流程的效率方面发挥了重要作用。
HOOPS Luminate在汽车行业中的应用具有广泛的潜力和深远的影响。它通过提供高效的3D可视化、虚拟装配与拆解、性能分析、客户定制等功能,帮助汽车制造商在设计、生产和销售过程中提升效率、降低成本并提高产品质量。
在不断发展的软件开发世界中,使工具和框架与最新的平台版本保持同步至关重要,欢迎查阅~
全球航运业对国际贸易至关重要,全球 90% 以上的商品通过海运运输。准确监控和控制这些集装箱的移动对于维持高效的供应链至关重要。手动输入集装箱号码是这一程序的关键部分,它带来了相当大的挑战,例如人为错误和效率低下。
针对 C/C++ 软件开发提供统一、完全集成的测试解决方案。
Parasoft Jtest用于应用软件开发的集成Java测试工具
Parasoft SOAtest人工智能和机器学习赋能 API 和 Web 服务测试
Parasoft dotTEST降低C#和VB.NET开发风险,有效地实现符合C#和.NET开发的测试工具的要求
Parasoft Insure++针对C和C++应用程序的运行时内存泄漏检测和内存调试
服务电话
重庆/ 023-68661681
华东/ 13452821722
华南/ 18100878085
华北/ 17347785263
客户支持
技术支持咨询服务
服务热线:400-700-1020
邮箱:sales@cahobeh.cn
关注我们
地址 : 重庆市九龙坡区火炬大道69号6幢