超过50%的安全漏洞是由错误的编码产生的,开发人员一般安全开发意识和安全开发技能不足,更加关注业务功能的实现。想从源头上治理漏洞就需要制定代码检测机制,SAST是一种在开发阶段对源代码进行安全测试发现安全漏洞的测试方案。SAST需要从语义上理解程序的代码、依赖关系、配置文件。优势是代码具有高度可视性,能够检测更丰富的问题,包括漏洞及代码规范等问题。测试对象比IAST丰富,除Web应用程序之外还能够检测APP的漏洞,不需要用户界面,可通过IDE插件形式与集成开发环境(如Eclipse、IntelliJ IDEA)结合,实时检测代码漏洞问题,漏洞发现更及时,修复成本更低。由于是白盒测试,所以测试覆盖率高,检测速度快。SAST产品还可以扫描产品中使用的第三方库的漏洞。
IAST的插桩和代理模式,插桩需要在服务器中部署Agent,不同的语言不同的容器要不同的Agent,这对有些用户来说是很难接受的。而代理模式不需要服务器中部署Agent,只是测试人员要配置代理,安全测试会产生一定的脏数据,漏洞的详情无法定位到代码片段,适合想用IAST技术又不接受在服务器中部署Agent的用户使用。插桩在程序运行时监视应用并分析代码,它不会主动对Web应用程序执行攻击,而是纯粹被动地分析检测代码,覆盖率和发起的测试请求覆盖范围有关,覆盖率无法保障,而且检测时间是跟测试用例的个数有关,检测时间较长。IAST无法集成到IDE插件在开发阶段进行扫描,需要等到开发后期产品环境可以运行时,才能进行扫描,漏洞发现较晚,修复成本较高。另外,IAST无法扫描移动APP和产品中使用的第三方库的漏洞。
464
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
