Статическое тестирование безопасности приложений
-
Основы статического тестирования безопасности приложений (SAST)
- SAST используется для обнаружения уязвимостей в исходном коде ПО.
- Распространение началось в конце 90-х, первое публичное обсуждение SQL-инъекций в 1998 году.
- Инструменты SAST фокусируются на коде, в отличие от динамического тестирования (DAST), которое тестирует функциональность.
-
Роль SAST в разработке ПО
- SAST выполняется на ранних стадиях разработки и в процессе объединения кода.
- SAST помогает обеспечить качество ПО, несмотря на проблемы с ложными срабатываниями.
- Инструменты интегрированы в процесс разработки для соответствия спецификациям.
-
Эффективность и ограничения SAST
- SAST обнаруживает около 50% существующих уязвимостей.
- Инструменты SAST могут быть автоматизированы и интегрированы в CI/CD для остановки интеграции при обнаружении уязвимостей.
- Раннее устранение уязвимостей снижает затраты на их исправление.
-
Проблемы внедрения SAST
- Разработчикам может быть сложно использовать результаты SAST из-за их сложности.
- Ранняя интеграция SAST может привести к ошибкам из-за фокусировки на функциях и доставке.
- Большое количество предупреждений об уязвимостях может вызвать проблемы с ложными срабатываниями и доверием к инструментам.
-
Дополнительные сведения
- В статье также упоминаются другие виды тестирования безопасности, такие как DAST и IAST.
- Обсуждается важность статического анализа и его связь с качеством и безопасностью ПО.