SAST (Pruebas estáticas de seguridad de aplicaciones)

Las herramientas SAST analizan el código en representaciones intermedias (AST, grafo de control de flujo, grafo de flujo de datos) y aplican reglas o análisis de taint para detectar patrones inseguros asociados a CWEs. Como no ejecutan el código, se integran fácilmente en IDEs, ganchos pre-commit y pipelines de CI/CD, y pueden analizar código que aún no se ha desplegado. SAST destaca en bugs deterministas (inyección SQL, sinks XSS, secretos en código, criptografía débil), pero genera falsos positivos y omite problemas que solo aparecen en tiempo de ejecución, por lo que suele combinarse con SCA y DAST. Herramientas habituales: Semgrep, GitHub CodeQL, SonarQube, Checkmarx y Fortify.