DAST,即“动态应用安全测试”,是指对应用程序的安全性进行动态测试。 它通常与“SAST”(静态应用安全测试)形成对比。 DAST 可以识别正在运行的应用中的安全漏洞,而 SAST 则会在静态状态下检查应用程序的源代码以发现潜在的弱点。
DAST 和 SAST 本身都不够完善,因为它们各有优势和局限性。 DAST 擅长通过评估应用的运行状态来检测高优先级的现实世界威胁。 然而,实现全面的测试覆盖需要进行大量的测试,而范围不当的测试可能会遗漏关键漏洞。 相反,SAST 通过分析整个代码库提供更详尽的测试,但它检测到的漏洞不一定代表高优先级的现实世界威胁。
为了增强应用的安全性,采用组合策略至关重要。 DAST 可以帮助解决紧急的高优先级漏洞,而 SAST 则确保对应用代码进行彻底的静态分析,从而实现更强大、更注重安全的开发生命周期。