应用安全测试之SAST，DAST，IAST和RASP

SAST或静态应用程序安全性测试（ 也称为“白盒测试”）已经存在了十多年。它使开发人员可以在软件开发生命周期的早期，在应用程序源代码中找到安全漏洞。它还可以确保符合编码准则和标准，而无需实际执行基础代码。

DAST或动态应用程序安全性测试（ 也称为“黑匣子”测试）可以发现正在运行的应用程序（通常是Web应用程序）中的安全漏洞和弱点。它通过在应用程序上采用故障注入技术（例如将恶意数据馈送到软件中）来识别常见的安全漏洞（例如SQL注入和跨站点脚本）来做到这一点。DAST还可以聚焦于无法通过静态分析识别的运行时问题，例如身份验证和服务器配置问题，以及仅当已知用户登录时才可见的缺陷。

SAST和DAST通常串联使用

SAST和DAST通常串联使用，因为SAST不会发现运行时错误，而DAST不会标记编码错误，至少不会下降到代码行号。在查找代码行中的错误（例如弱随机数生成）时，SAST的性能很好，但是在查找数据流缺陷方面通常效率不高。另外，SAST解​​决方案因大量误报而令人生厌。这里有一个reshift，这是一个免费的静态安全测试工具，它使用我们专有的机器学习算法更快地对误报进行分类，如果您有兴趣的话，请在此处查看。

抽象解释： 通过称为抽象解释的方法，在减少或完全消除误报方面取得了一些成功。但是，为了获得最佳结果，需要使用应用程序的域为代码量身定制抽象解释算法，包括应用程序的体系结构，如何使用某些数值算法以及操作的数据结构类型。

尽管SAST的缺陷，但它仍然是开发团队的最爱。他们喜欢它，使他们可以在代码级别扫描项目，这使单个团队成员更容易进行技术推荐的更改。它还使他们能够在开发过程的早期发现缺陷，从而有助于降低因在过程结束时解决问题而导致的成本和连锁反应。

此外，SAST可以自动 透明地集成到项目的工作流程中。这消除了通常与测试应用程序有关的安全性的麻烦，并且与DAST形成鲜明对比，DAST对于大型项目，需要创建特殊的基础结构，执行特殊的测试以及应用程序的多个实例与不同的输入数据并行运行。

但是，DAST可以理解参数和函数调用，因此它可以确定调用是否按其应有的方式运行。SAST无法检查调用，并且在大多数情况下，无法检查参数值。