Segurança de aplicações
SAST (Static Application Security Testing)
Também conhecido como: Análise estática, Teste caixa-branca
Definição
Análise automatizada de código-fonte, bytecode ou binários — sem executar — para encontrar fraquezas de segurança como injeção, APIs inseguras ou criptografia fraca.
Exemplos
- Executar Semgrep com um ruleset OWASP Top 10 em cada pull request.
- Usar GitHub CodeQL para detectar path traversal em um serviço Java antes do merge.
Termos relacionados
DAST (Dynamic Application Security Testing)
Testes de segurança caixa-preta que interagem com a aplicação em execução pela rede para descobrir vulnerabilidades visíveis apenas em tempo de execução.
IAST (Interactive Application Security Testing)
Teste de segurança que instrumenta a aplicação em execução por dentro para observar o código em tempo real enquanto é exercitado por tráfego ou testes.
SCA (Software Composition Analysis)
Análise automatizada dos componentes open source e de terceiros da aplicação para identificar vulnerabilidades conhecidas, problemas de licença e dependências desatualizadas ou arriscadas.
Secure Coding
Secure Coding — definition coming soon.
DevSecOps
Cultura e conjunto de práticas que integra responsabilidades de segurança aos fluxos DevOps para entregar software seguro de forma contínua e ágil.
OWASP Top 10
OWASP Top 10 — definition coming soon.