代码质量与安全 | SAST与DAST有什么区别？

静态应用程序安全测试（SAST）和动态应用程序安全测试（DAST）都有助于确保您的软件安全并防范漏洞，这使得DevSecOps过程更容易。本篇文章解释了SAST与DAST之间的区别，帮助您更好地了解它们分别应该在何时使用。

SAST与DAST的主要差异

这两种工具都是用于识别软件安全漏洞的，但是，它们的工作方式非常不同。每种方法都有不同的优点，可以找到不同类型的漏洞，具体取决于您处于软件开发过程中什么阶段。在理想的情况下，您会希望在安全测试工具包中同时使用这两种工具，并了解如何最好地单独和结合使用它们。

静态应用程序安全测试（SAST）通常在软件开发过程的早期检测安全漏洞，并可以精确定位这些问题的确切位置，提供有关漏洞严重程度的详细信息。这为开发人员节省了大量时间，把他们从手动查找、修复问题的麻烦中拯救出来。

动态应用程序安全测试（DAST）通常在开发过程的后期进行，分析处于动态（或运行）状态的应用程序。这种类型的测试可帮助开发人员从用户的角度了解应用程序如何运行，而不需要了解软件的工作原理及其背后的编程理念。在不同的应用程序运行时，DAST大范围地测试输入和输出，动态地检测它们的漏洞。

理想情况下，SAST和DAST应该一起使用，以便在整个软件开发生命周期（SDLC）中覆盖尽可能多的漏洞。为了让您了解何时以及如何将每种测试方法的作用发挥到最大，以下将阐述SAST与DAST之间最显著的差异。

何时应该使用SAST而不是DAST

您需要了解：

白盒安全测试

SAST通常被称为白盒安全测试，这意味着开发人员可以访问软件的底层框架、设计和实施情况。SAST工具会从内到外测试软件，帮助开发人员消除对于使用行业标准的偏见，并找出您在可预测故障条件之外可能未考虑到的问题。

预编码签入检查

作为持续集成（CI）最佳实践的一部分，在提交代码之前就执行预编码签入让您可以共享和接收反馈，以及在SDLC早期持续测试更改。当在集成开发环境中运行预编码签入检查时，SAST工具能够自动化执行此过程，快速查找出bug，以便轻松修复它们，并保持高质量的代码。

Jenkins流水线质量门限检查

在 流水线中构建质量门限，确保在您有机会解决这些问题之前，重要故障不会先进入下一个步骤。您可以添加静态分析作为质量门限检查标记的一部分，并使用SAST工具来帮助您确定质量门限的标准，以及查找导致质量门限失败的错误。

夜间扫描

SAST可以在软件开发的所有阶段执行，包括服务器夜间构建。夜间静态分析扫描是持续监控代码运行状况的好方法，当您离开办公桌时，更彻底的SAST分析可以识别您可能错过的漏洞，让您有时间在工作时间修复它们。

必须有源代码

这种类型的工具不需要您运行软件来分析其漏洞。相反，它会分析您的源代码、字节码和二进制文件，无需执行任何内容，还将提供最快速反馈且只需要最少的工作量。

在开发早期发现漏洞，修复成本较低

这种类型的工具能够在您写代码时扫描它。这有助于确保尽快识别安全漏洞和编码错误，也使得解决这些问题更容易、更快、成本更低。

无法识别与时间和环境相关的问题

由于此类工具扫描的是静态代码，因此它无法识别与时间和环境相关的漏洞。

通常支持所有类型的软件

您可以使用这种类型的工具来分析大多数类型的软件，包括嵌入式软件、企业应用程序、移动应用程序、Web应用程序和Web服务。

△ SAST与DAST之间的差异

何时使用DAST而不是SAST

以下是您需要了解的内容：

黑盒安全测试

与SAST相反，DAST通常被称为黑盒安全测试，从外到内测试应用程序。您无权访问软件的底层框架、设计和实施情况，因此内部细节是模糊的。这种测试方法可以帮助您了解不良行为者可能的入侵方式。

需要一个运行中的应用程序

DAST工具要求您运行软件来分析其漏洞。

在开发后期发现漏洞，修复成本更高

DAST工具只分析可以编译和运行的软件，这意味着它只能在开发后期识别漏洞。这使得修复错误变得更加困难、耗时，因此成本更高。

能够识别与时间和环境相关的问题

由于DAST工具使用动态分析来检查您的软件，因此它能够识别与时间和环境相关的问题。

SAST的优势是什么？

以下是这类工具的主要优点：

• 通过查找国际公认的安全、防范和质量编码标准已知漏洞的方式来发现问题；
• 早期缺陷检测和修复，从而降低修复成本；
• 左移方法——随时随地提供分析，包括开发人员桌面和 CI/CD流水线；
• 易于自动化、可扩展并自动提供最高级别的代码覆盖率；
• 反馈速度很快，并提供漏洞的确切位置及其原因。

DAST的优势是什么？

以下是这类工具的主要优点：

• 应用程序运行时，在整个系统环境中，对其进行整体分析；
• “透视”应用程序内部，动态分析执行逻辑和实时数据；
• 独立于语言和源代码；
• 检查内存消耗和资源使用情况；
• 尝试从外部破解加密算法；
• 验证权限以确保隔离权限级别；
• 检查跨站点脚本、SQL注入和Cookie操作；
• 测试第三方界面中的漏洞；
• 理解参数和函数调用；
• 记录应用程序执行，用于事后测试失败分析；
• 捕获硬应用程序故障；
• 基于脚本、无人参与的动态分析。

将两者结合用于您的安全计划

作为有效安全计划的一部分，SAST和DAST应该一起使用，因为它们能够识别对方可能无法识别的漏洞。
SAST在开发早期测试源代码。越来越多的企业正在将SAST测试整合到其CI和CD流水线中，以便他们尽早并经常发现源代码漏洞。
DAST无法访问源代码，而是在软件已经运行时对其进行测试，发现恶意行为者可能试图利用的安全漏洞。
但是，没有哪种测试方法在本质上比另一种更好。为了进行全面的应用程序安全测试，两者都是必需的。使用SAST和DAST自动化工具将这两种测试方法集成到您的流水线中，有助于确保代码安全，而不会牺牲代码质量或交付时间。

使用Perforce SAST工具Klocwork，确保软件安全和项目成功

Perforce提供用于C、C++、C#、Java、JavaScript、Python和Kotlin的SAST工具Klocwork，可以帮助您在早期识别安全、质量和可靠性问题，强制遵守编码标准，确保代码免受安全漏洞的影响，且降低修复成本。Klocwork的设计易于扩展到任何规模的项目，提高您在编写代码时自动进行源代码分析的能力。

文章来源：http://bit.ly/3J5hVRh