SAST (Pruebas estáticas de seguridad de aplicaciones)
¿Qué es SAST (Pruebas estáticas de seguridad de aplicaciones)?
SAST (Pruebas estáticas de seguridad de aplicaciones)Análisis automatizado de código fuente, bytecode o binarios —sin ejecutarlo— para detectar debilidades de seguridad como inyección, APIs inseguras o criptografía débil.
Las herramientas SAST analizan el código en representaciones intermedias (AST, grafo de control de flujo, grafo de flujo de datos) y aplican reglas o análisis de taint para detectar patrones inseguros asociados a CWEs. Como no ejecutan el código, se integran fácilmente en IDEs, ganchos pre-commit y pipelines de CI/CD, y pueden analizar código que aún no se ha desplegado. SAST destaca en bugs deterministas (inyección SQL, sinks XSS, secretos en código, criptografía débil), pero genera falsos positivos y omite problemas que solo aparecen en tiempo de ejecución, por lo que suele combinarse con SCA y DAST. Herramientas habituales: Semgrep, GitHub CodeQL, SonarQube, Checkmarx y Fortify.
● Ejemplos
- 01
Ejecutar Semgrep con un ruleset OWASP Top 10 en cada pull request.
- 02
Usar GitHub CodeQL para detectar path traversal en un servicio Java antes del merge.
● Preguntas frecuentes
¿Qué es SAST (Pruebas estáticas de seguridad de aplicaciones)?
Análisis automatizado de código fuente, bytecode o binarios —sin ejecutarlo— para detectar debilidades de seguridad como inyección, APIs inseguras o criptografía débil. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa SAST (Pruebas estáticas de seguridad de aplicaciones)?
Análisis automatizado de código fuente, bytecode o binarios —sin ejecutarlo— para detectar debilidades de seguridad como inyección, APIs inseguras o criptografía débil.
¿Cómo defenderse de SAST (Pruebas estáticas de seguridad de aplicaciones)?
Las defensas contra SAST (Pruebas estáticas de seguridad de aplicaciones) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para SAST (Pruebas estáticas de seguridad de aplicaciones)?
Nombres alternativos comunes: Análisis estático, Pruebas de caja blanca.