Безопасность приложений
SAST (Static Application Security Testing)
Также известно как: Статический анализ, Тестирование белого ящика
Определение
Автоматический анализ исходного кода, байт-кода или бинарных файлов без их выполнения для поиска уязвимостей вроде инъекций, небезопасных API или слабой криптографии.
Примеры
- Запуск Semgrep с правилами OWASP Top 10 для каждого pull request.
- Использование GitHub CodeQL для обнаружения path traversal в Java-сервисе до мерджа.
Связанные термины
DAST (Dynamic Application Security Testing)
Black-box тестирование безопасности работающего приложения по сети для поиска уязвимостей, проявляющихся только в рантайме: инъекций, ошибок аутентификации и неправильных конфигураций.
IAST (Interactive Application Security Testing)
Тестирование безопасности, при котором приложение инструментируется изнутри и наблюдается во время выполнения под трафиком или тестами.
SCA (Software Composition Analysis)
Автоматический анализ open-source и сторонних компонентов приложения для выявления известных уязвимостей, лицензионных рисков и устаревших или опасных зависимостей.
Secure Coding
Secure Coding — definition coming soon.
DevSecOps
Культура и практики, встраивающие ответственность за безопасность в процессы DevOps, чтобы команды непрерывно и быстро выпускали безопасное ПО.
OWASP Top 10
OWASP Top 10 — definition coming soon.