彩票走势图

静态应用安全测试(SAST)是一种在不执行程序源码的情况下对程序源码进行自动测试和分析的方法，以便在软件开发周期的早期发现安全漏洞。SAST也被称为静态代码分析，它是通过解析代码的过程，查看代码是如何编写的，并检查安全漏洞和安全问题。

从开发开始就使用一套或多套编码指南，如CERT和MISRA，以确定要遵守哪些编码规则。一些从业者也会结合自己的自定义规则。

由于静态应用安全测试工具不需要运行中的应用程序来执行分析，因此它们可以在软件开发生命周期（SDLC）的实施阶段早期和经常使用。当开发人员正在编写代码时，SAST可以实时分析代码，以告知用户任何违反规则的情况，因此您可以立即处理问题，并立即交付更高质量的应用程序，同时防止在开发过程结束时出现问题。

此外，由于SAST可以帮助您在实施过程中审计代码和分流问题，测试自动化工具也可以轻松地集成到开发生态系统中，其中持续集成/连续交付（CI/CD）是工作流程的一部分，有助于在集成期间以及交付之前确保代码的安全、安全和可靠。

SAST和DAST的区别是什么？

SAST在不运行应用程序的情况下分析每一行代码，而动态应用程序安全测试(DAST)通过在运行时或黑盒测试中寻找利用安全漏洞的方法来模拟恶意攻击和其他外部行为。

在发现开发团队根本没有想到的意外漏洞时，DAST特别有用。DAST带来的这种额外的洞察力提供了广泛的安全测试，以寻找缺陷并防止SQL注入、跨站脚本（XSS）等攻击。还记得2014年索尼影视公司的黑客事件吗？那是可以用DAST来预防的。

比较SAST与DAST，在SDLC的不同阶段，两者都比对方更有效。SAST代表了开发者的观点，确保所有的编码程序都遵循相应的安全标准，从一开始就确保应用的安全性。DAST则是模仿黑客的方法，在开发末期识别可能的用户行为。让我们来看看主要的区别。

静态应用安全测试VS动态应用安全测试

SAST允许测试人员分析应用程序的框架、设计和实现的各个方面，以分析源代码。使用DAST，需要一个正在运行的应用程序，而测试人员不需要对源代码或应用程序建立的技术有任何了解。

由于SAST研究的是源代码，因此可以在实施开始后立即执行，发现违反编码规则的行为，为安全漏洞打开大门。你不需要一个正在运行的构建就可以对软件进行测试，而且更好的是，你可以立即对已经标记的代码进行分流。使用DAST，你需要在它开始扫描漏洞之前执行应用程序，也就是只要你有正在运行的软件就可以了。

在软件开发过程中，SAST是一个持久的存在，它能够通过更早地发现缺陷和安全漏洞来降低成本，而这些缺陷和安全漏洞是在最快速和成本最低的开发阶段进行修复的。在单元测试阶段，也就是动态分析的一部分，可以寻找安全漏洞。

在这个阶段，解决缺陷的成本还是很低的，但随着你不断向软件开发的V型模型上升，缺陷的补救成本就越高。这是因为在应用修复的过程中涉及到更多的人员和任务。例如，当在系统测试中发现一个缺陷时，工程师需要验证缺陷/弱点，修复缺陷，报告缺陷已被修复，然后将其传递给质量保证（QA）团队，在那里他们将不得不重新运行他们的测试，并验证问题已被解决。

文件也可能需要更新，这可能会涉及更多的人员和时间。在产品发布后发现的安全漏洞更加昂贵，这不仅是因为修复问题所涉及的所有人员，还因为现在可能会因为产品或公司的声誉因安全责任而受到损害而造成业务损失，此外还有可能的诉讼和恢复成本。

由于SAST工具扫描的是静态代码，所以它能够应用于多种类型的软件应用和语言，比如用于嵌入式系统的C和C++，以及用于后台、网络应用的C#、VB.NET、Java等语言。这是对DAST的完美补充，DAST能够在运行期间或移动应用、桌面应用、云服务、网站、企业软件和游戏等互联环境中发现问题。

当测试您的web应用程序时，结合使用SAST工具parasoft公司DAST的实践倾向于给你两个世界中最好的，每一个测试都是对另一个的补充和验证。当您的DAST结果在整个开发周期中通知您的SAST时，您就大大改进了如何在开发的每个步骤中以卓越的覆盖率测试、检测和预防安全漏洞。