SAST 與 DAST有何不同?

應(yīng)用程序安全測(cè)試(AST)是為了發(fā)現(xiàn)和修復(fù)潛在安全問(wèn)題而采取的一系列工具、流程和方法的綜合。AST可以幫助開發(fā)人員和安全團(tuán)隊(duì)識(shí)別和解決應(yīng)用程序中的安全漏洞和缺陷。其中靜態(tài)應(yīng)用程序安全測(cè)試(SAST)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)是常用的安全測(cè)試方法，這兩種測(cè)試分別在軟件開發(fā)生命周期的不同階段使用，并且所遵循的掃描方式也不同。

靜態(tài)應(yīng)用程序安全測(cè)試(SAST)是一種在應(yīng)用程序開發(fā)階段或源代碼階段進(jìn)行的安全測(cè)試方法。由于測(cè)試方法在軟件開發(fā)生命周期的早期階段就已實(shí)施，它通過(guò)分析源代碼或編譯后的代碼來(lái)檢查應(yīng)用程序中的安全漏洞。SAST工具可以檢查代碼中的常見安全問(wèn)題，譬如注入攻擊、跨站點(diǎn)腳本(XSS)漏洞、敏感數(shù)據(jù)泄露等。SAST可提供靜態(tài)代碼分析報(bào)告，指出潛在的安全漏洞，并且靜態(tài)應(yīng)用程序安全測(cè)試工具支持基于
DevSecOps 的左移方法來(lái)管理安全性。

靜態(tài)應(yīng)用安全測(cè)試的優(yōu)點(diǎn)包括：

早期漏洞檢測(cè)：靜態(tài)代碼分析在開發(fā)過(guò)程開始時(shí)執(zhí)行，測(cè)試有助于在編譯應(yīng)用程序代碼之前檢測(cè)應(yīng)用程序代碼中的錯(cuò)誤。通過(guò)確保安全漏洞不會(huì)進(jìn)入生產(chǎn)環(huán)境，SAST 工具有助于實(shí)施對(duì)安全漏洞的主動(dòng)保護(hù)和緩解。

實(shí)時(shí)反饋：SAST 掃描程序執(zhí)行快速掃描，并可以在更短的時(shí)間內(nèi)分析應(yīng)用程序的整個(gè)代碼庫(kù)。除了對(duì)發(fā)現(xiàn)的缺陷提供即時(shí)反饋外，SAST 工具還可以與各種開發(fā)管道工具無(wú)縫集成。

準(zhǔn)確性：SAST 工具根據(jù)預(yù)定義的安全規(guī)則自動(dòng)執(zhí)行安全測(cè)試。與手動(dòng)測(cè)試方法相比，這些工具可以更快、更準(zhǔn)確地識(shí)別關(guān)鍵漏洞。

雖然 SAST 有助于安全編碼實(shí)踐，但分析靜態(tài)代碼的好處在范圍上是有限的，因?yàn)樗鼰o(wú)法識(shí)別運(yùn)行時(shí)漏洞，并且不可避免的存在誤報(bào)及漏報(bào)風(fēng)險(xiǎn)。

與 SAST 不同，動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)是一種在應(yīng)用程序運(yùn)行時(shí)進(jìn)行的安全測(cè)試方法。它通過(guò)模擬與應(yīng)用程序交互的攻擊，如發(fā)送惡意請(qǐng)求、注入惡意數(shù)據(jù)等，來(lái)評(píng)估應(yīng)用程序的安全性。DAST工具可以檢測(cè)到與應(yīng)用程序相關(guān)的特定漏洞，包括跨站點(diǎn)腳本(XSS)，跨站請(qǐng)求偽造(CSRF)等。DAST評(píng)估集中于應(yīng)用程序暴露的安全漏洞和可能的攻擊路徑。由于
DAST 測(cè)試是在運(yùn)行時(shí)環(huán)境中執(zhí)行的，因此安全工程師還可以在新漏洞出現(xiàn)和發(fā)展時(shí)檢測(cè)和識(shí)別這些漏洞。

動(dòng)態(tài)應(yīng)用程序安全測(cè)試的優(yōu)點(diǎn)包括：

不受代碼語(yǔ)言限制： DAST 測(cè)試不需要了解用于開發(fā)應(yīng)用程序的編程語(yǔ)言。無(wú)論使用何種框架，DAST 工具都會(huì)根據(jù)輸入和輸出評(píng)估應(yīng)用程序的行為。由于 DAST 工具與代碼語(yǔ)言無(wú)關(guān)，因此可強(qiáng)制執(zhí)行開發(fā)和安全團(tuán)隊(duì)之間的無(wú)縫協(xié)作，從而更輕松地進(jìn)行安全風(fēng)險(xiǎn)管理。

誤報(bào)率較低： DAST 工具對(duì)應(yīng)用程序環(huán)境進(jìn)行端到端掃描，使安全研究人員能夠檢測(cè)和識(shí)別威脅應(yīng)用程序安全性和功能的安全漏洞。

不需要訪問(wèn)源代碼：由于 DAST 掃描是通過(guò)應(yīng)用程序前端發(fā)送惡意負(fù)載來(lái)執(zhí)行的，因此企業(yè)可以利用第三方安全服務(wù)來(lái)執(zhí)行測(cè)試，而無(wú)需面對(duì)應(yīng)用程序代碼。

雖然 DAST 工具可以評(píng)估應(yīng)用程序代碼中的各種漏洞，但它們無(wú)法檢測(cè)代碼庫(kù)中安全問(wèn)題的確切位置。DAST
掃描也無(wú)法嗅探應(yīng)用程序堆棧中未執(zhí)行的部分中的漏洞。

靜態(tài)應(yīng)用程序安全測(cè)試和動(dòng)態(tài)應(yīng)用程序安全測(cè)試通常結(jié)合使用，以提供全面的應(yīng)用程序安全測(cè)試覆蓋。靜態(tài)測(cè)試可以幫助發(fā)現(xiàn)開發(fā)階段的問(wèn)題，并提供關(guān)于代碼安全性的靜態(tài)分析。動(dòng)態(tài)測(cè)試則模擬不同的攻擊場(chǎng)景，以測(cè)試應(yīng)用程序在實(shí)際運(yùn)行時(shí)的抵御能力。綜合使用這兩種方法可以更全面地識(shí)別潛在的安全問(wèn)題，并提供指導(dǎo)修復(fù)的建議。

下表顯示了靜態(tài)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試方面之間的主要區(qū)別。

靜態(tài)應(yīng)用程序安全測(cè)試和動(dòng)態(tài)應(yīng)用程序安全測(cè)試通常結(jié)合使用，以提供全面的應(yīng)用程序安全測(cè)試覆蓋。靜態(tài)測(cè)試可以幫助發(fā)現(xiàn)開發(fā)階段的問(wèn)題，并提供關(guān)于代碼安全性的靜態(tài)分析。動(dòng)態(tài)測(cè)試則模擬不同的攻擊場(chǎng)景，以測(cè)試應(yīng)用程序在實(shí)際運(yùn)行時(shí)的抵御能力。綜合使用這兩種方法可以更全面地識(shí)別潛在的安全問(wèn)題，并提供指導(dǎo)修復(fù)的建議。