Teste de aplicações – SAST e DAST

test
Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp
Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOA Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?  

Você sabe o que é SAST ou DAST ?

Quando se fala de teste de aplicações, é importante que qualquer proprietário ou desenvolvedor de sistema inspecione seus aplicativos em busca de vulnerabilidades e defeitos.

Estes que possam levar a vulnerabilidades antes de colocar seu aplicativo em produção. Vou tentar descrever brevemente alguns dos métodos usados ​​para essa finalidade de uma perspectiva de alto nível.

O teste de segurança de aplicativo estático (SAST) é uma revisão direta do código-fonte, compreendendo uma aplicação.

Muitas vezes, é chamado de “white box”. Os benefícios incluem a avaliação direta e antecipada de possíveis falhas, muito antes de a aplicação ser considerada para o ambiente de produção. Infelizmente, o SAST efetivo exige muito conhecimento específico do código em particular, assim como uma compreensão especializada de possíveis resultados negativos.

Esse tipo de qualificação geralmente é encontrado em pessoal já envolvido em programação, e é raro que uma organização tenha esse tipo de pessoa disponível para a tarefa limitada de teste de software.

Então, o SAST pode ser executado por pessoal contratado de empresas especializadas.

Isso introduz um prejuízo potencial adicional ao processo de desenvolvimento: o número de iterações para as quais eles podem ser encarregados pode ser extremamente limitado e certamente caro.

No entanto, os proprietários de aplicativos querem ter certeza de que os aplicativos não estão sendo testados pelos desenvolvedores que os escreveram.

Há muitas chances de que os desenvolvedores sintam falta dos erros que eles cometeram (ou não os teriam feito) ou que eles serão compreensivelmente inerentemente inclinados em direção à sua própria criação. Isso representaria um conflito de interesses e violaria o princípio da separação de tarefas.

O Python é um ótimo complemento para o seu conjunto de habilidades, não importa onde sua carreira acabe levando você.

O teste dinâmico de segurança de aplicativos (DAST), por outro lado, não interage diretamente com o código fonte.

Em vez disso, ele analisa os resultados do aplicativo à medida que ele é executado no tempo de execução. Ele é frequentemente chamado de “black box”.

Em comparação com o SAST, o DAST deve exigir menos experiência para executar e, portanto, ter menos despesas associadas e mais iterações possíveis que são facilmente programadas.

No entanto, o DAST não é tão granular quanto o SAST, e algo que possa ter sido revelado pelo especialista SAST pode ser perdido no DAST.

É claro que é possível, e desejável, realizar os dois tipos de testes em um aplicativo específico.

Essa combinação de abertura e grande base de usuários significa que quase qualquer pessoa, de programadores casuais a desenvolvedores profissionais de software, pode se envolver com o idioma no nível que precisa.

O que está esperando ? Clique agora e confira nosso curso.

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOA Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?  

Conteúdos relacionados

Olá Visitante

Ajude o blog a crescer, assine nossa newsletter