详解安全测试工具:SAST、DAST、IAST、SCA的异同

已于 2022-08-25 08:58:01 修改
阅读量5.5k 收藏 14
点赞数 4
分类专栏: DevSecOps分享 开源 文章标签: 安全 测试工具
于 2022-08-25 08:55:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qzt961003/article/details/126517140
版权

目录

安全测试的重要性

安全测试方法

AST工具

SCA工具

到底用哪种工具?

随着DevOps的发展,企业应用迭代的速度得到了大幅提升。但同时,安全如果不能跟上步伐,不仅会抵消DevOps变革带来的提升,拖慢企业数字化转型进程,还会导致漏洞与风险不约而至。2012年,Gartner提出了DevSecOps的理念,将安全防护流程有机地融入传统的 DevOps 流程中,为研发安全提供强有力保证,安全工具是支撑研发阶段安全要求落地的重要保障。

安全测试的重要性

在Forrester 2020年发布的调查报告统计《The State Of Application Security, 2020》中显示,在 480家全球企业已经确认的外部攻击中,针对Web应用程序是位于首位,占比39%,攻击 Web 应用程序主要指基于程序的 SQL 注入、跨站脚本或者远程文件包含攻击。针对软件漏洞攻击占比30%,主要指对于安全漏洞的利用攻击。

安全测试方法

安全测试是 DevSecOps 实践的关键部分,软件程序经过各种方法的测试以保证质量。安全测试是一个专业领域,拥有自己的一套工具和实践,旨在暴露这些漏洞。

安全测试工具分为两类:自动化安全测试工具和手工安全测试。而自动化安全测试工具现在市场细分已经非常完善,有诸如SAST、SCA等等工具。手工安全测试一般则指的是渗透测试。

AST工具

1.SAST简介

超过50%的安全漏洞是由错误的编码产生的,开发人员一般安全开发意识和安全开发技能不足,更加关注业务功能的实现。想从源头上治理漏洞就需要制定代码检测机制。

SAST是一种白盒测试技术,通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。是在开发阶段对源代码进行安全测试发现安全漏洞的测试方案

SAST一般优势:

①代码具有高度可视性,检测问题类型更丰富

②测试对象包括WEB应用程序、APP

③不需要用户界面(UI),漏洞发现更及时

SAST一般劣势:

①代码理解局限性、区分开发语言

②不能确定漏洞可利用性,漏洞分类不明确

③不能整合测试问题,集成系统的漏洞发现不了

2.DAST简介

DAST是一种黑盒测试技术,是目前应用最广泛、使用最简单的一种Web应用安全测试方法。在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应,从而确定该Web应用是否易受攻击。

安全工程师常用的工具如AWVS、AppScan等就是基于DAST原理的产品。

通用实现流程:

DAST一般优势:

①攻击者视角,可发现大多数高风险问题

②无需源代码,测试对象范围较广

③支持当前的各类主流编程语言开发的应用、第三方组件、第三方框架

DAST一般劣势:

最低0.47元/天 解锁文章
三大安全神器对决:SAST vs DAST vs IAST,谁是应用程序的守护神?
java专栏
05-11 666
应用程序安全是个永恒的话题,而SASTDASTIAST作为三大安全测试工具,它们各自扮演着独特的角色,共同守护着软件的防线。下面,我们就来一场深度探索,把这三位安全界的“护法”剖析得明明白白。
一文洞悉DASTSASTIAST ——Web应用安全测试技术对比浅谈
墨痕诉清风的博客
06-01 1672
IAST:交互式应用程序安全测试(Interactive Application Security Testing)是2012年Gartner公司提出的一种新的应用程序安全测试方案,通过代理、VPN或者在服务端部署Agent程序,收集、监控Web应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。无论是生活中离不开的通讯、支付、娱乐、餐饮、出行,以及医疗,还是国防领域中的火箭、导弹、卫星等,都离不开软件技术。
静态应用安全测试 SAST 与动态应用安全测试 DAST 有何区别?
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-19 1921
由于泄露事件的数量不断增加,各组织日益重视应用安全。他们希望识别应用中的漏洞,并提早降低风险。有两种不同类型的应用安全测试:静态应用安全测试 SAST 和动态分析测试 DAST。这两种测试方法都能识别应用中的安全漏洞,但它们却又截然不同。
2025 IAST工具推荐 ︱IAST工具如何赋能企业开发安全
最新发布
软件供应链安全选型指南
02-27 1616
灵脉IAST灰盒安全测试平台是全球代码疫苗内核驱动的新一代交互式应用安全测试平台,也是国内语言支持数量和测试覆盖场景类型数量均领先、具备探针技术领先和实践成熟度的IAST产品,具备API接口安全检测及敏感数据链路追踪能力,透明集成于现有IT流程,自动化完成业务代码上线前安全测试,重点覆盖90%以上中高危漏洞,防止应用带病上线,保障数字供应链开发环节的安全运行。在这个环境中,IAST主要是以工具方式接入,补充上线前的安全措施,并将安全前置,弥补公司前面没有做的安全测试覆盖。
如何进行应用安全测试(AST)
jimmyleeee的专栏
04-22 1423
随着应用或者API被攻击利用已经越来越多,虽然来自开源组件的漏洞加剧了这一现象的发生,但是,其实主要还是在于应用程序或者API本身没有做好防范,根源在于源代码本身的质量没有严格把控。AST是指Application Security Testing,主要包括静态应用测试(SAST)、交互式应用测试(IAST)、动态应用测试(DAST)以及软件成分分析(SCA)等工具。 应用测试工具AST是专门用于检测源代码安全问题的工具,如何有效地将AST工具应用于开发过程中,也是一个比较有挑战的事情。 将AST工具
动态应用程序安全测试 (DAST) 工具 Fortify WebInspect
qq_43653083的博客
10-25 1273
OpenText™ 推出的 Fortify WebInspect 是一种自动化DAST 解决方案,可提供全面的漏洞检测能力并有助于安全专业人士和 QA 测试人员识别安全漏洞和配置问题。它能模拟针对正在运行的应用程序发起的真实外部安全攻击,从而实现这一目的,以确定问题并排定根本原因分析优先级。WebInspect 拥有众多 REST API,让集成从中获益,并且可以灵活地通过直观的用户界面进行管理,或完全通过自动化机制运行。
渗透测试常用工具总结——DASTSASTIAST
m0_61506558的博客
01-03 1434
IAST是什么?交互式应用安全测试(Interactive application security testing IAST)是一个在应用和API中自动化识别和诊断软件漏洞的技术。IAST全称为 “交互式应用程序安全测试” ,通过利用Agent来监控应用程序运行时的函数执行情况,采集相关数据,与服务端进行实时交互,从而高效、准确地识别出应用程序中的漏洞。同时可准确定位到漏洞所在的文件、行数、方法及参数,方便开发团队及时修复漏洞。
SASTDASTIAST几种测试工具的比较
jimmyleeee的专栏
07-02 6956
安全测试中都会遇到SAST(Static Application Security Testing)、DAST(Dynamic Application Security Testing)、IAST(Interactive Application Security Testing)的概念,这三种工具各有优劣势,先比较如下: 比较项 SAST DAST IAST 扫描对象 源代...
《可信研发运营安全能力模型》:交互式IAST工具在软件全生命周期中的关键作用
特别强调了自动化安全工具在实现可信研发运营安全理念中的核心作用,包括静态应用程序安全测试工具SAST)、交互式应用程序安全测试工具IAST)、开源软件审计平台(SCA)、动态应用程序安全测试工具DAST)和...
中国信通院郭雪解读《交互式应用程序安全测试工具能力要求》标准
Anprou的博客
09-01 569
引言 2021年7月21日,由中国信息通信研究院指导,DevSecOps敏捷安全领导者悬镜安全主办的中国首届DevSecOps敏捷安全大会(DSO 2021)在北京成功举办。大会以“安全从供应链开始”为主题,寓意安全基础决定上层建筑,在云原生环境下为软件供应链注入覆盖全流程的安全属性,从源头做风险治理。 现场逾300位权威学者、安全专家、生态伙伴、技术精英齐聚一堂,近20个议题,直击软件供应链安全复杂场景中涉及的管理、流程、技术、工具等问题,为安全产业发展提供创新源动力。 中国信通院云计算与大数...
交互式应用安全测试(IAST)学习笔记
securitypaper的博客
07-08 1760
新技术的出现,是为了解决老技术历史遗留问题,IAST对应的老技术就是SASTDAST 传统的应用安全测试主要包括SAST(静态应用安全测试)和DAST(动态应用安全测试
IAST交互式应该用程序安全测试技术分享
11-28
开发阶段为引入漏洞最关键的阶段,超过50%的安全漏洞由错误的编码产生。究其原因是因为 开发人员对所使用的语言与技术的安全特性不了解,写出的代码符合功能上的需求,但缺乏安全 上的考虑
如何在软件供应链中验证第三方二进制组件
qzt961003的博客
09-22 422
您是否将第三方软件集成到您的应用程序或产品中?您是否知道这个第三方软件是否存在已知漏洞?
UniSCA漏洞优先级排序
qzt961003的博客
01-04 798
如何有效地对漏洞进行优先排序?
代码审计-审计工具介绍-DAST+SAST+IAST项目
xiaoheizi的博客
08-21 1547
各类语言审计工具 PHP:Seay RIPS CheckMarx Fortify VCG Kunlun-M NET:VCG Fortify CheckMarx Java:Fortify CheckMarx VCG Python:Bandit Fortify CheckMarx JS:Kunlun-M NodeJsScan Fortify CheckMarx Go:Gosec CheckMarx
DevSecOps | 极狐GitLab 动态应用程序安全测试DAST)使用指南
GitLab 中国发行版
08-25 3697
DAST 是 Dynamic Application Security Testing 的缩写,也即动态应用程序安全测试,属于应用程序安全测试的一种,与 SAST 相对应,属于黑盒测试。
SCASAST有什么区别?SCA产品应该如何选购?
weixin_55163056的博客
05-06 1169
开源组件安全及合规管理平台(SourceCheck)是开源网安自主研发的软件成分分析(SCA)产品,用于第三方组件的安全分析与管控包括企业组件使用管理、组件使用合规审计、新漏洞感知预警、开源代码知识产权审计,软件物料清单产出等,可实现对源码与制品的精准分析,帮助企业实现开源风险治理。SCA为开发人员提供了一种自动化且高效的方式来检测和监控开源和第三方组件的使用情况,评估其安全性和许可证合规性,并降低供应链攻击风险。涵盖开源使用管理的所有方面,包括安全性和合规性,使用自动化工作流来简化开发人员的日常任务。
应用安全测试技术DASTSASTIAST对比分析
qq_50854662的博客
10-06 1360
应用安全测试技术DASTSASTIAST对比分析
浅谈IAST,DAST,SAST之区别
TT成长博客
03-02 3568
之前在一本书里看到过IAST,简单知道一些,未作深究,但是最近发现在安全咨询里,越来越多被提及,那么就强化学习一下吧。还有拟态安全,放在下次。安全的路上,真的是学无止境啊。 Web应用安全测试,主要分为3大类别。 DAST
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GitMore

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值