¿Cuáles son las principales diferencias entre el análisis de código fuente y las pruebas de seguridad de aplicaciones estáticas (SAST)?

Navega tus respuestas
1

¿Estas 2 terminologías se refieren a lo mismo? enlace

enlace

Algunas de las herramientas se superponen. Te hace preguntarte Si son diferentes, ¿puede alguien explicarme las diferencias?

    
pregunta DoodleKana 13.08.2014 - 00:35
fuente

2 respuestas

3

A menudo, las personas las usan indistintamente dentro de la industria de la seguridad.

Las listas a las que apunta se refieren a los mismos tipos de herramientas / evaluación, además de que la segunda lista es más amplia, incluidas las herramientas de análisis estático que no están dirigidas a la seguridad, como las que se usan para verificar la calidad del código. cuestiones.

Técnicamente, algunos tipos de SAST no revisan la fuente, sino los binarios, por lo que puede ser un poco inapropiado llamarle SCA, en esa situación.

Personalmente, me gusta la nomenclatura DAST, SAST, MAST, porque describe los tipos generales de aplicaciones de evaluación para problemas de seguridad: ejecutando pruebas contra una aplicación en ejecución (análisis dinámico), examinando los componentes del código o un modelo de ellos (análisis estático), o mediante inspección y prueba experta asistida por herramientas (análisis manual).

    
respondido por el Todd Grotenhuis 19.08.2014 - 21:51
fuente
1

En un libro popular sobre el tema, "El arte de la evaluación de seguridad del software", las estrategias para las auditorías de código (Capítulo 4) se derivan de tres conceptos principales:

  1. Estrategias de comprensión de código, por ejemplo, su "análisis de código fuente" donde el código se lee de arriba a abajo, en partes / componentes, o debido a las huellas de tiempo de ejecución en el flujo de ejecución cubren áreas particulares de interés como métodos, funciones o bloques básicos
  2. Estrategias de puntos candidatos, por ejemplo, sus "pruebas estáticas de seguridad de aplicaciones" en las que el código se analiza con una herramienta automatizada: por lo general analizadores léxicos, escáneres de pruebas de seguridad de aplicaciones dinámicas, marcos integrados de pruebas de seguridad de aplicaciones y / o verificadores de modelado de análisis AST . Tenga en cuenta que todas estas herramientas deben ser manejadas por un experto a nivel de dominio para que se entiendan y ajusten
  3. Las estrategias de generalización del diseño, parcialmente enraizadas en el análisis del código fuente, pero el código, o su arquitectura subyacente, se analizan mediante un método (p. ej., OOA & D) y / o herramienta (p. ej., doxygen, ctags, etc.) - Por lo general, para descubrir patrones de software, marcos, componentes y, si están orientados a objetos, asignaciones de diagarms de clase. Tenga en cuenta que estos métodos y herramientas deben ser manejados nuevamente por un experto a nivel de dominio para una interpretación y optimización adecuadas
respondido por el atdre 13.08.2014 - 00:57
fuente

Lea otras preguntas en las etiquetas

¿Por qué la industria financiera utiliza 2TDEA en lugar de 3TDEA? Si el contenido de la base de datos se vuelve a limpiar