Segurança da Informação

Teste de aplicações – SAST e DAST

Você sabe o que é SAST ou DAST ? Quando se fala de teste de aplicações, é importante que qualquer proprietário ou desenvolvedor de sistema inspecione seus aplicativos em busca de vulnerabilidades e defeitos. Estes que possam levar a vulnerabilidades antes de colocar seu aplicativo em produção. Vou tentar descrever brevemente alguns dos métodos usados ​​para essa finalidade de uma perspectiva de alto nível.

O teste de segurança de aplicativo estático (SAST) é uma revisão direta do código-fonte, compreendendo uma aplicação. Muitas vezes, é chamado de “white box”. Os benefícios incluem a avaliação direta e antecipada de possíveis falhas, muito antes de a aplicação ser considerada para o ambiente de produção. Infelizmente, o SAST efetivo exige muito conhecimento específico do código em particular, assim como uma compreensão especializada de possíveis resultados negativos.

Esse tipo de qualificação geralmente é encontrado em pessoal já envolvido em programação, e é raro que uma organização tenha esse tipo de pessoa disponível para a tarefa limitada de teste de software. Então, o SAST pode ser executado por pessoal contratado de empresas especializadas. Isso introduz um prejuízo potencial adicional ao processo de desenvolvimento: o número de iterações para as quais eles podem ser encarregados pode ser extremamente limitado e certamente caro.

Porque “Segurança” deve amar e aprender “DevOps”

No entanto, os proprietários de aplicativos querem ter certeza de que os aplicativos não estão sendo testados pelos desenvolvedores que os escreveram. Há muitas chances de que os desenvolvedores sintam falta dos erros que eles cometeram (ou não os teriam feito) ou que eles serão compreensivelmente inerentemente inclinados em direção à sua própria criação. Isso representaria um conflito de interesses e violaria o princípio da separação de tarefas.

O teste dinâmico de segurança de aplicativos (DAST), por outro lado, não interage diretamente com o código fonte. Em vez disso, ele analisa os resultados do aplicativo à medida que ele é executado no tempo de execução. Ele é frequentemente chamado de “black box”. Em comparação com o SAST, o DAST deve exigir menos experiência para executar e, portanto, ter menos despesas associadas e mais iterações possíveis que são facilmente programadas. No entanto, o DAST não é tão granular quanto o SAST, e algo que possa ter sido revelado pelo especialista SAST pode ser perdido no DAST.

É claro que é possível, e desejável, realizar os dois tipos de testes em um aplicativo específico.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

This site uses Akismet to reduce spam. Learn how your comment data is processed.