SAST 为什么会成为网络安全领域的下一件大事?
根据商业顾问 Shelly Palmer 的说法,我们大多数人都倾向于无视网络安全,因为 IT 安全就像是氧气—我们认为这是理所当然的。实际上,企业每时每刻都在遭受网络攻击。换句话说,每天大约有 26,000 家企业遭受网络攻击。面临风险的不仅是拥有老旧系统的大型机构,还有我们的小企业和企业家们。
• SAST 如何帮助加强网络安全?
静态应用程序安全测试 (SAST) 就像是在部队之前清除地雷的战斗工程师。它类似于计算机编译器,因为它将开发人员的高级代码简化为低级语言,只有在这种情况下才能寻找到代码中的漏洞。SAST 方法很慢,这是它的一个缺点,但它很彻底。开发人员在每次提交代码之前都会运行一个 SAST 分析器,在这些缺陷变成威胁之前找到它们,因为这些威胁会让他们的公司耗费更多的成本和时间。
• SAST, DAST, IAST
类似 SAST 的模型包括动态应用程序安全测试(DAST)和交互式应用程序安全测试(IAST)。DAST 工具处理的是成熟的应用程序,而不是实际的本地代码。应用的代理程序是在运行的应用程序之外寻找漏洞,这与更快、更现代化的 IAST 分析刚好相反,应用的代理程序是从内部进行实时分析的。SAST 改进了这些工具,因为它在缺陷浮出水面之前捕获它们。
考虑全面的开发人员可能希望将 SAST 与 IAST 和 DAST 结合使用,尽管 SAST 足以在缺陷变成代价高昂的错误之前对其进行检测。
• SAST 工具如何工作?
开发人员编写专有代码并使用静态代码分析 (SCA) 工具通过可筛选原始代码弱点的代表性模型来解析代码。该 SCA 使用多种分析器,每个分析器都通过多级分析(包括指令序列、文件和一个或多个分组程序)来寻找嵌入的错误。随着网络安全专业人员发现更多漏洞,规则一直在更新。
在 SCA 工具解析您的代码后,它会提供它的报告 - 一份冗长的清单,供您采取行动。
• 应该选择哪种 SAST 工具?
每个 SAST 供应商都有其专长。一些供应商可以扩展到数千名开发人员并在您编程时分析您的代码,另一些不仅可以在您专有代码中查找漏洞,还可以在操作系统库的源码中查找漏洞。
您可以一起或分开使用这些解决方案,具体取决于您的业务需求和分析范围。OWASPs 标准列表可帮助您缩小选择范围。
• 使用 SAST 工具的好处
Forrester 最近的应用程序安全状态预测,随着应用程序变得越来越复杂并包含新的框架,它们将继续成为最常见的外部攻击来源。根除这些漏洞的最佳方法是使用 SAST 工具,它可以帮助开发人员在测试和后期生产中,在修复成本增加到十倍甚至一百倍之前解决错误。
SAST 工具确实会产生大量误报,您会发现它们比 DAST 和 IAST 工具慢,但它们可以帮助您在 IT 生命周期的早期发现和修复安全漏洞,并且可以比其他类型的工具检测到更多的网络漏洞。
• 使用建议
您可以将 SAST 与手动代码审查相结合以获得最佳网络安全结果。帮助您遵守改善网络安全的行政命令。
了解更多 SAST 工具请访问:http://www.softtest.cn/multi/435.html
版权声明: 本文为 InfoQ 作者【麦禾测试】的原创文章。
原文链接:【http://xie.infoq.cn/article/22a639f130684bf6158ac5c0b】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论