Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Français
Entry № 1086

SAST (Static Application Security Testing)

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que SAST (Static Application Security Testing) ?

SAST (Static Application Security Testing)Analyse automatisée du code source, du bytecode ou des binaires — sans exécution — pour repérer des faiblesses de sécurité comme l'injection, les API non sûres ou la cryptographie faible.

Les outils SAST parsent le code en représentations intermédiaires (AST, graphes de contrôle et de données) et appliquent des règles ou de l'analyse de taint pour détecter des motifs non sûrs associés à des CWEs. Sans exécution, ils s'intègrent naturellement aux IDE, aux hooks pre-commit et aux pipelines CI/CD et peuvent analyser du code qui n'a pas encore été déployé. Le SAST est efficace sur les bugs déterministes (injection SQL, sinks XSS, secrets codés en dur, crypto faible) mais produit des faux positifs et passe à côté de problèmes uniquement runtime ; il est donc combiné au SCA et au DAST. Outils répandus : Semgrep, GitHub CodeQL, SonarQube, Checkmarx, Fortify.

Exemples

  1. 01

    Exécuter Semgrep avec un ruleset OWASP Top 10 sur chaque pull request.

  2. 02

    Utiliser GitHub CodeQL pour détecter une path traversal dans un service Java avant merge.

Questions fréquentes

Qu'est-ce que SAST (Static Application Security Testing) ?

Analyse automatisée du code source, du bytecode ou des binaires — sans exécution — pour repérer des faiblesses de sécurité comme l'injection, les API non sûres ou la cryptographie faible. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.

Que signifie SAST (Static Application Security Testing) ?

Analyse automatisée du code source, du bytecode ou des binaires — sans exécution — pour repérer des faiblesses de sécurité comme l'injection, les API non sûres ou la cryptographie faible.

Comment se défendre contre SAST (Static Application Security Testing) ?

Les défenses contre SAST (Static Application Security Testing) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de SAST (Static Application Security Testing) ?

Noms alternatifs courants : Analyse statique, Tests boîte blanche.

Termes liés

Voir aussi