安全测试工具分为 SAST、DAST和IAST 您知道吗?

wufei123 发布于 2024-09-01 阅读(9)

相信刚刚步入安全测试领域的同学都会发现,安全测试领域工具甚多,不知如何选择!其实安全测试工具大致分为三类:SAST、DAST和IAST本文就带大家快速的了解这三者的本质区别!SAST (Static Application Security Testing )。

静态应用程序安全测试在非运行时扫描和分析静态代码SAST易于部署,并在部署时查找代码中预测安全风险的模式虽然有帮助,但SAST过程中也有缺陷SAST只能在运行前的开发早期阶段运行以进行检测和分析常用工具包括fortify、CheckMarx等等。

DAST(Dynamic application security testing)动态应用程序安全测试是一种较慢的测试方法,它侧重于通过渗透测试从外部测试安全性它是一个黑盒测试工具,在应用程序运行时进行扫描。

它通过渗透测试从外部寻找安全漏洞,并且不使用或不需要源代码或二进制代码常用工具包括burpsuite,appscan、zap等等IAST(Interactive Application Security Testing)

交互式应用程序安全性测试建立在SAST和DAST的基础上,并解决了两者之间的不足,理念是安全开发左移IAST是一种在应用程序运行时,通过插桩技术,动态地获取应用程序运行时的各种上下文信息,从而发现应用程序中可能存在的漏洞。

这种技术相比其他传统的手动检查代码或者黑盒测试,可以更准确地发现潜在的安全风险常用工具包括:Invicti 、Checkmarx IAST 、Contrast Assess 、HCL AppScan 、Opentext Fortify On Demand等等。

我的每一篇文章都希望帮助读者解决实际工作中遇到的问题!如果文章帮到了您,劳烦点赞、收藏、转发!您的鼓励是我不断更新文章最大的动力!

亲爱的读者们,感谢您花时间阅读本文。如果您对本文有任何疑问或建议,请随时联系我。我非常乐意与您交流。

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。