Sécurité applicative
SAST (Static Application Security Testing)
Aussi appelé: Analyse statique, Tests boîte blanche
Définition
Analyse automatisée du code source, du bytecode ou des binaires — sans exécution — pour repérer des faiblesses de sécurité comme l'injection, les API non sûres ou la cryptographie faible.
Exemples
- Exécuter Semgrep avec un ruleset OWASP Top 10 sur chaque pull request.
- Utiliser GitHub CodeQL pour détecter une path traversal dans un service Java avant merge.
Termes liés
DAST (Dynamic Application Security Testing)
Tests de sécurité boîte noire qui sollicitent une application en cours d'exécution via le réseau pour détecter des vulnérabilités visibles uniquement à l'exécution.
IAST (Interactive Application Security Testing)
Test de sécurité qui instrumente l'application en cours d'exécution pour observer le code en temps réel pendant qu'il est sollicité par du trafic ou des tests.
SCA (Software Composition Analysis)
Analyse automatisée des composants open source et tiers d'une application pour identifier les vulnérabilités connues, les problèmes de licence et les dépendances obsolètes ou risquées.
Secure Coding
Secure Coding — definition coming soon.
DevSecOps
Culture et pratiques qui intègrent les responsabilités de sécurité dans les flux DevOps afin de livrer en continu et rapidement des logiciels sécurisés.
OWASP Top 10
OWASP Top 10 — definition coming soon.