如何區(qū)分SAST、DAST和IAST

那么SAST，DAST和IAST到底是什么？他們之間的優(yōu)劣勢如何？下面小編就簡而述之。

SAST（Static Application Security Testing，靜態(tài)應(yīng)用程序安全測試）對應(yīng)用程序源代碼執(zhí)行直接的白盒分析。分析是在代碼的靜態(tài)視圖上運行的，這意味著代碼在審查時沒有運行。如今，SAST已經(jīng)完全成為主流，并且在整個軟件行業(yè)中被廣泛采用。

SAST的優(yōu)點：

廣泛的編程語言支持；

檢出率較高；

可以定位到代碼行。

SAST的缺點：

準(zhǔn)確性差：優(yōu)秀SAST產(chǎn)品的誤報率也在53%以上*；

無法看到執(zhí)行流；

通常需要一些定制或調(diào)參；

不適用于生產(chǎn)階段的系統(tǒng)；

通常運行很慢。

與SAST相反，DAST（Dynamic Application Security Testing，動態(tài)應(yīng)用程序安全測試）對應(yīng)用程序進行黑盒分析，這意味著它們不能訪問代碼或?qū)崿F(xiàn)細節(jié)。DAST只檢查系統(tǒng)對潛在漏洞測試的請求和響應(yīng)。換言之，DAST是外部的漏洞掃描程序。

DAST的優(yōu)點：

獨立于應(yīng)用程序的技術(shù)和平臺，無需代碼細節(jié)；

執(zhí)行相對較快；

誤報率較低。

DAST的缺點：

檢出率低：優(yōu)秀的DAST產(chǎn)品檢出率也只有18%*；

無法定位到代碼行；

使用門檻高，報告通常需要安全專家解讀。

IAST（Interactive Application Security Testing，交互式應(yīng)用程序安全測試）結(jié)合了SAST和DAST的優(yōu)點。IAST可以像SAST一樣看到源代碼，也可以像DAST一樣看到應(yīng)用程序運行時的執(zhí)行流。

IAST的優(yōu)點：

檢出率較高；

誤報率較低；

可以在研發(fā)測試和生產(chǎn)環(huán)境中使用；

實時產(chǎn)生結(jié)果；

可以持續(xù)檢測，對DevOps支持度更高；

即插即用，無需配置或調(diào)參；

可以與CI平臺集成，創(chuàng)建相互連接的工作流。

IAST的缺點：

需要特定的語言支持

我們可以看到，與SAST和DAST類產(chǎn)品相比，IAST類產(chǎn)品擁有明顯的優(yōu)勢。但IAST作為近年來才誕生的熱點，其發(fā)展還遠沒有SAST和DAST類產(chǎn)品成熟。因此我們認(rèn)為如果預(yù)算允許，以上這三類應(yīng)用安全測試產(chǎn)品應(yīng)該在機構(gòu)中同時應(yīng)用。如果機構(gòu)只擁有一款產(chǎn)品的預(yù)算，IAST是最合適的選擇。因為IAST不僅擁有安全測試上的能力優(yōu)勢，也更容易與DevOps緊密結(jié)合，幫助機構(gòu)在不降低發(fā)布效率的前提下完成安全測試。