什么是SAST?
SAST(Static Application Security Testing)是構建安全代碼的基礎,在談到左移安全性時,SAST是一個解決方案,其中包含一些強大的工具可以集成到軟體開發生命周期中,
開發人員或許都熟悉靜態應用程式安全測驗 (SAST) 工具,并且每天都會使用集成到其 IDE 中的工具,但目前很少有人將SAST添加到他們的CI/CD管道中,
什么是靜態應用安全工具?
靜態應用程式安全測驗,也稱為白盒測驗,是一種方法或工具,通過這種方法或工具,可以在不運行代碼的情況下測驗代碼,
任何使用過IDE的開發人員都熟悉靜態應用程式測驗的基本概念,IDE經常提醒開發人員注意潛在的安全問題,比如代碼的某個部分無法訪問或某個方法從未被呼叫,靜態應用程式安全測驗是關注安全性的工具其中之一,使用SAST可以發現的一些最常見的問題如 SQL注入漏洞,
SAST工具是高性能解決方案,可盡早測驗代碼并可能降低由于時間、作業和可能的致命安全問題帶來的損失,
SAST是左移安全方法的一個組成部分,通過幫助團隊在開發早期發現代碼的潛在問題,團隊可以花費更少的時間來解決安全問題,SAST 集成到IDE和CI/CD管道中,有助于無縫阻止不安全代碼進入生產環境,
誰需要SAST:靜態應用工具的好處
①可在開發早期階段檢出缺陷,修復成本低;
②可精確定位源代碼中的潛在錯誤;
③代碼覆寫率完整;
④易于使用,通用性高,
SAST工具通常會存在誤報或者漏報的問題,因此,擁有避免大量誤報的實用SAST工具至關重要,
為什么SAST工具會存在誤報或漏報?
靜態應用程式測驗工具直接面向原始碼,檢測所有的代碼級別可執行路徑組合,本身會基于一些演算法,對程式資料、控制流分析,預判程式中存在的潛在問題,而演算法耗時與準確度成正比,作為工具產品,高運行、高準確度的檢測并不容易實作,因此在設計中存在簡化、取舍,導致精度流失,運行時間和演算法精度之間要達到平衡,因此產生誤報,
軟體安全是網路安全的最后一道防線,轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/472891.html
標籤:其他
下一篇:中科軟測認證中心(隨筆)