SAST 与 DAST有何不同?-技术圈

应用程序安全测试(AST)是为了发现和修复潜在安全问题而采取的一系列工具、流程和方法的综合。AST可以帮助开发人员和安全团队识别和解决应用程序中的安全漏洞和缺陷。其中静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)是常用的安全测试方法，这两种测试分别在软件开发生命周期的不同阶段使用，并且所遵循的扫描方式也不同。

静态应用程序安全测试(SAST)是一种在应用程序开发阶段或源代码阶段进行的安全测试方法。由于测试方法在软件开发生命周期的早期阶段就已实施，它通过分析源代码或编译后的代码来检查应用程序中的安全漏洞。SAST工具可以检查代码中的常见安全问题，譬如注入攻击、跨站点脚本(XSS)漏洞、敏感数据泄露等。SAST可提供静态代码分析报告，指出潜在的安全漏洞，并且静态应用程序安全测试工具支持基于
DevSecOps 的左移方法来管理安全性。

静态应用安全测试的优点包括：

早期漏洞检测：静态代码分析在开发过程开始时执行，测试有助于在编译应用程序代码之前检测应用程序代码中的错误。通过确保安全漏洞不会进入生产环境，SAST 工具有助于实施对安全漏洞的主动保护和缓解。

实时反馈：SAST 扫描程序执行快速扫描，并可以在更短的时间内分析应用程序的整个代码库。除了对发现的缺陷提供即时反馈外，SAST 工具还可以与各种开发管道工具无缝集成。

准确性：SAST 工具根据预定义的安全规则自动执行安全测试。与手动测试方法相比，这些工具可以更快、更准确地识别关键漏洞。

虽然 SAST 有助于安全编码实践，但分析静态代码的好处在范围上是有限的，因为它无法识别运行时漏洞，并且不可避免的存在误报及漏报风险。

与 SAST 不同，动态应用程序安全测试(DAST)是一种在应用程序运行时进行的安全测试方法。它通过模拟与应用程序交互的攻击，如发送恶意请求、注入恶意数据等，来评估应用程序的安全性。DAST工具可以检测到与应用程序相关的特定漏洞，包括跨站点脚本(XSS)，跨站请求伪造(CSRF)等。DAST评估集中于应用程序暴露的安全漏洞和可能的攻击路径。由于
DAST 测试是在运行时环境中执行的，因此安全工程师还可以在新漏洞出现和发展时检测和识别这些漏洞。

动态应用程序安全测试的优点包括：

不受代码语言限制： DAST 测试不需要了解用于开发应用程序的编程语言。无论使用何种框架，DAST 工具都会根据输入和输出评估应用程序的行为。由于 DAST 工具与代码语言无关，因此可强制执行开发和安全团队之间的无缝协作，从而更轻松地进行安全风险管理。

误报率较低： DAST 工具对应用程序环境进行端到端扫描，使安全研究人员能够检测和识别威胁应用程序安全性和功能的安全漏洞。

不需要访问源代码：由于 DAST 扫描是通过应用程序前端发送恶意负载来执行的，因此企业可以利用第三方安全服务来执行测试，而无需面对应用程序代码。

虽然 DAST 工具可以评估应用程序代码中的各种漏洞，但它们无法检测代码库中安全问题的确切位置。DAST
扫描也无法嗅探应用程序堆栈中未执行的部分中的漏洞。

静态应用程序安全测试和动态应用程序安全测试通常结合使用，以提供全面的应用程序安全测试覆盖。静态测试可以帮助发现开发阶段的问题，并提供关于代码安全性的静态分析。动态测试则模拟不同的攻击场景，以测试应用程序在实际运行时的抵御能力。综合使用这两种方法可以更全面地识别潜在的安全问题，并提供指导修复的建议。

下表显示了静态和动态应用程序安全测试方面之间的主要区别。