溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
如何區分SAST、DAST和IAST,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。
那么SAST,DAST和IAST到底是什么?他們之間的優劣勢如何?下面小編就簡而述之。
SAST(Static Application Security Testing,靜態應用程序安全測試)對應用程序源代碼執行直接的白盒分析。分析是在代碼的靜態視圖上運行的,這意味著代碼在審查時沒有運行。如今,SAST已經完全成為主流,并且在整個軟件行業中被廣泛采用。
SAST的優點:
廣泛的編程語言支持;
檢出率較高;
可以定位到代碼行。
SAST的缺點:
準確性差:優秀SAST產品的誤報率也在53%以上*;
無法看到執行流;
通常需要一些定制或調參;
不適用于生產階段的系統;
通常運行很慢。
與SAST相反,DAST(Dynamic Application Security Testing,動態應用程序安全測試)對應用程序進行黑盒分析,這意味著它們不能訪問代碼或實現細節。DAST只檢查系統對潛在漏洞測試的請求和響應。換言之,DAST是外部的漏洞掃描程序。
DAST的優點:
獨立于應用程序的技術和平臺,無需代碼細節;
執行相對較快;
誤報率較低。
DAST的缺點:
檢出率低:優秀的DAST產品檢出率也只有18%*;
無法定位到代碼行;
使用門檻高,報告通常需要安全專家解讀。
IAST(Interactive Application Security Testing,交互式應用程序安全測試)結合了SAST和DAST的優點。IAST可以像SAST一樣看到源代碼,也可以像DAST一樣看到應用程序運行時的執行流。
IAST的優點:
檢出率較高;
誤報率較低;
可以在研發測試和生產環境中使用;
實時產生結果;
可以持續檢測,對DevOps支持度更高;
即插即用,無需配置或調參;
可以與CI平臺集成,創建相互連接的工作流。
IAST的缺點:
需要特定的語言支持
我們可以看到,與SAST和DAST類產品相比,IAST類產品擁有明顯的優勢。但IAST作為近年來才誕生的熱點,其發展還遠沒有SAST和DAST類產品成熟。因此我們認為如果預算允許,以上這三類應用安全測試產品應該在機構中同時應用。如果機構只擁有一款產品的預算,IAST是最合適的選擇。因為IAST不僅擁有安全測試上的能力優勢,也更容易與DevOps緊密結合,幫助機構在不降低發布效率的前提下完成安全測試。
看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
