Segurança de aplicações
DAST (Dynamic Application Security Testing)
Também conhecido como: Análise dinâmica, Teste de segurança caixa-preta
Definição
Testes de segurança caixa-preta que interagem com a aplicação em execução pela rede para descobrir vulnerabilidades visíveis apenas em tempo de execução.
Exemplos
- Executar uma varredura automatizada do OWASP ZAP contra uma API em staging como job de CI.
- Fazer uma varredura com Burp Suite usando sessão autenticada contra uma SPA.
Termos relacionados
SAST (Static Application Security Testing)
Análise automatizada de código-fonte, bytecode ou binários — sem executar — para encontrar fraquezas de segurança como injeção, APIs inseguras ou criptografia fraca.
IAST (Interactive Application Security Testing)
Teste de segurança que instrumenta a aplicação em execução por dentro para observar o código em tempo real enquanto é exercitado por tráfego ou testes.
RASP (Runtime Application Self-Protection)
Defesa embutida dentro de uma aplicação em execução que monitora o contexto de execução e bloqueia, em tempo real, comportamentos maliciosos como injeção ou desserialização insegura.
Fuzz testing
Técnica de testes automatizados que submete um programa a grandes volumes de entradas malformadas, aleatórias ou inesperadas para revelar crashes, corrupção de memória e vulnerabilidades.
DevSecOps
Cultura e conjunto de práticas que integra responsabilidades de segurança aos fluxos DevOps para entregar software seguro de forma contínua e ágil.
OWASP Top 10
OWASP Top 10 — definition coming soon.