SAST (Static Application Security Testing )
静态应用程序安全测试在非运行时扫描和分析静态代码。SAST易于部署,并在部署时查找代码中预测安全风险的模式。虽然有帮助,但SAST过程中也有缺陷。SAST只能在运行前的开发早期阶段运行以进行检测和分析。常用工具包括fortify、CheckMarx等等。
DAST(Dynamic application security testing)
动态应用程序安全测试是一种较慢的测试方法,它侧重于通过渗透测试从外部测试安全性。它是一个黑盒测试工具,在应用程序运行时进行扫描。它通过渗透测试从外部寻找安全漏洞,并且不使用或不需要源代码或二进制代码。常用工具包括burpsuite,appscan、zap等等。
IAST(Interactive Application Security Testing)
交互式应用程序安全性测试建立在SAST和DAST的基础上,并解决了两者之间的不足,理念是安全开发左移。IAST是一种在应用程序运行时,通过插桩技术,动态地获取应用程序运行时的各种上下文信息,从而发现应用程序中可能存在的漏洞。这种技术相比其他传统的手动检查代码或者黑盒测试,可以更准确地发现潜在的安全风险。常用工具包括:Invicti 、Checkmarx IAST 、Contrast Assess 、HCL AppScan 、Opentext Fortify On Demand等等。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
