Что такое SAST
Статическое тестирование безопасности приложений (SAST) представляет собой специализированный вид тестирования приложений, который анализирует исходный код приложения без его выполнения. SAST также известен как code review или тестирование методом белого ящика.
Статический анализ кода более экономичен и эффективен по сравнению с динамическим анализом кода. Он часто используется в методах тестирования на соответствие, но также отлично подходит для выявления дефектов программирования и проблем безопасности в исходном коде.
SAST справедливо считается одним из основных вариантов выявления уязвимостей в исходном коде приложения. Статический анализ выполняется на этапе написания кода, что позволяет разработчикам находить ошибки и уязвимости на ранних этапах разработки продукта и снижать затраты на их устранение. Кроме того, SAST работает с большинством языков программирования.
Другие преимущества:
возможность интеграции статического анализа в процесс разработки, в интегрированной среде разработки (IDE);
выявление критических уязвимостей, таких как переполнение буфера, SQL-инъекции, межсайтового скриптинга (XSS) и других;
указание точного местоположения подозрительного фрагмента кода. Это особенно важно для больших проектов с сотнями, тысячами и миллионами строк кода.
Last updated
