Aikido
無料で始める
CC不要
アプリケーション・セキュリティ用語集

SAST & DAST

SASTはアプリが実行される前にコードの脆弱性をチェックし、DASTはアプリの実行中にテストしてリアルタイムで発生する問題を発見します。

この2つを一緒に使うことで、セキュリティの問題を最初からデプロイまでキャッチし、アプリの安全性を確保することができます。さっそく始めましょう。

SAST DAST:知っておくべきこと

では、SAST DASTをお探しですか?あるいは、SAST DAST 何かを理解したいのでしょうか。

静的アプリケーションセキュリティテスト(SAST)と動的アプリケーションセキュリティテスト(DAST)は、ソフトウェアの脆弱性を特定するのに役立つアプリケーションセキュリティにおける2つの重要な手法です。 

主な違いは?どのように使い分けますか?必要ですか?あなたは正しい場所にいます。さあ、飛び込もう。


その前にTL;DR: 

要約:SAST 静的アプリケーションセキュリティテスト)はアプリの実行前にコードの脆弱性をチェックする一方、DAST 動的アプリケーションセキュリティテスト)はアプリの実行中にテストを行い、リアルタイムで発生する問題を検出します。

SAST 専門の開発者がコードをレビューするようなSAST 、DAST ハッカーが侵入を試みるようなDAST 。

両方を併用することで、開発開始からデプロイまでのセキュリティ問題を捕捉し、アプリの安全性を確保できます。宣伝になりますが、DAST SAST 探しならぜひ当社をご検討ください。セキュリティ対策はお任せください。開発に集中していただけます。

SASTとは?

SAST(静的アプリケーションセキュリティテスト)は、アプリケーションのソースコードを静的(非実行状態)で分析するテスト手法です。これは「ホワイトボックス」テスト技術に分類されます。


SAST 、開発者が開発ライフサイクル(SDLC)プロセスの初期段階(コード開発やコードレビューフェーズなど)で脆弱性を特定することをSAST 。SAST CI/CD への統合が容易なため、コードが記述される段階でセキュリティを確保し、変更をリポジトリにコミットする前にコードをスキャンできます。

SAST SQLインジェクション、クロスサイトスクリプティング(XSS)、ハードコードされた認証情報、その他のOWASP Top 10脆弱性などの脆弱性を検出SAST 。SAST (例: Aikido SAST、コードをスキャンし、National脆弱性 (NVD)などの既知のセキュリティ脆弱性データベースと比較します。

こう考えてみてください。SAST 、専門家が細かい部分まで入念にコードを点検し、発見した問題について即座にフィードバックを提供してくれるようなSAST 。

とはいえ、SAST 限界SAST 、設定ミスや依存関係など、実行時や環境固有の脆弱性を検出することはできません。コードスキャンには、使用しているプログラミング言語をサポートするSAST を選択する必要があります。

なぜ重要なのか?この早期検出は 、アプリケーションのデプロイ前に開発者が問題を対処できるようにするため極めて重要であり、問題を早期に修正する作業をより容易かつ低コストにします。SAST 予防的なセキュリティSAST 、将来的に多くの時間と頭痛の種を節約できるのです。

DASTとは?

DAST(動的アプリケーションセキュリティテスト)は、アプリケーションの実行中にその安全性を評価するテスト手法である。 

SAST ソースコード内部をSAST に対し、DAST ソースコードへのアクセスをDAST 代わりに、DAST 外部からのDAST アプリケーションのセキュリティをテストDAST 。DAST ハッカーと同様の手法でアプリケーションへの攻撃をDAST 。これは「ブラックボックス」手法です。

DAST 「表面監視」DAST Webアプリケーションの表面またはフロントエンドをテストします。DAST ユーザーインターフェースを介してアプリケーションと対話し、様々な入力をテストし、出力を観察することで、認証問題、サーバーの誤設定、その他の実行時脆弱性などの脆弱性を特定します。DAST 実行時にDAST 、DAST 意味を持つには動作するアプリケーションが必要であり、これは通常、本番環境移行前および本番環境フェーズに該当します。

DAST 外部からDAST 、HTTPなどの標準化されたプロトコルを使用してアプリケーションに接続するため、SAST異なり特定のプログラミング言語にDAST 。


なぜ重要なのか?この手法は、デプロイ前に検出できない問題を発見するために重要です。DAST 様々な種類のエラーをDAST 。DAST 、アプリケーションが稼働中に発生するリスクをDAST 。例えば、サーバーやデータベースの設定ミス、不正アクセスを許す認証や暗号化の問題、アプリケーションが接続するWebサービスからのリスクなどです。

SASTとDASTの併用

DAST 推奨されます。DAST 組み合わせることで、ソフトウェア開発ライフサイクル全体を広くDAST 。SAST 早期に対策を講じSAST DAST実際の環境下での耐性を確保しましょう。この組み合わせにより、チームは複数の段階で脆弱性に対処でき、最終的により安全なアプリケーションを実現します。

目次
テキストリンク

無料で始める

△GitHub、GitLab、Bitbucket、または Azure DevOps アカウントを接続すると、無料でリポジトリのスキャンを開始できます。

無料で始める
お客様のデータは共有されません - 読み取り専用アクセス