当前位置: 首页 > article >正文

安全测试工具分为 SAST、DAST和IAST 您知道吗?

相信刚刚步入安全测试领域的同学都会发现,安全测试领域工具甚多,不知如何选择!其实安全测试工具大致分为三类:SAST、DAST和IAST。本文就带大家快速的了解这三者的本质区别!

SAST (Static Application Security Testing )

静态应用程序安全测试在非运行时扫描和分析静态代码。SAST易于部署,并在部署时查找代码中预测安全风险的模式。虽然有帮助,但SAST过程中也有缺陷。SAST只能在运行前的开发早期阶段运行以进行检测和分析。常用工具包括fortify、CheckMarx等等。

DAST(Dynamic application security testing)

动态应用程序安全测试是一种较慢的测试方法,它侧重于通过渗透测试从外部测试安全性。它是一个黑盒测试工具,在应用程序运行时进行扫描。它通过渗透测试从外部寻找安全漏洞,并且不使用或不需要源代码或二进制代码。常用工具包括burpsuite,appscan、zap等等。

IAST(Interactive Application Security Testing)

交互式应用程序安全性测试建立在SAST和DAST的基础上,并解决了两者之间的不足,理念是安全开发左移。IAST是一种在应用程序运行时,通过插桩技术,动态地获取应用程序运行时的各种上下文信息,从而发现应用程序中可能存在的漏洞。这种技术相比其他传统的手动检查代码或者黑盒测试,可以更准确地发现潜在的安全风险。常用工具包括:Invicti 、Checkmarx IAST 、Contrast Assess 、HCL AppScan 、Opentext Fortify On Demand等等。

我的每一篇文章都希望帮助读者解决实际工作中遇到的问题!如果文章帮到了您,劳烦点赞、收藏、转发!您的鼓励是我不断更新文章最大的动力!


http://www.kler.cn/a/134630.html

相关文章:

  • 10款PDF合并工具的使用体验与推荐!!!
  • 在Flutter中,禁止侧滑的方法
  • 初始JavaEE篇 —— 网络编程(2):了解套接字,从0到1实现回显服务器
  • 使用HTML、CSS和JavaScript创建动态圣诞树
  • 【贪心算法】——力扣763. 划分字母区间
  • 文件上传漏洞--理论
  • 【开源】基于Vue.js的智能教学资源库系统
  • GCC多平台编译会遇到小问题
  • Codewhisperer 使用评价
  • 机器学习技术栈—— 概率学基础
  • markdown 公式编辑
  • 用户运营:如何搭建用户分析体系
  • 三极管与mos管的区分与应用
  • RT-DETR优化改进:SEAM、MultiSEAM分割物与物相互遮挡、分割小目标性能
  • 零基础安装分布式数据服务注册系统
  • SpringCache
  • 【开源】基于JAVA的校园二手交易系统
  • 微服务和Spring Cloud Alibaba介绍
  • SpringBoot和Spring的区别是什么?
  • AI创作系统ChatGPT网站源码/支持DALL-E3文生图/支持最新GPT-4-Turbo模型+Prompt应用
  • airlearning-ue4安装的踩坑记录
  • 小小发票拦住出海“巨头”,合合信息智能文档处理技术助力企业重塑财务管理流程
  • 第二部分:Module(也称为Package)
  • 属性的加密算法CP-ABE
  • unity-模块卸载重新安装
  • 在QGIS中加载显示3DTiles数据