SAST( Static Application Security Testing)の定義
静的アプリケーションセキュリティテスト(SAST)は、ソースコードに潜在的なセキュリティ上の弱点がないか精査する技法です。 動的アプリケーションセキュリティテスト(DAST)とは逆に、SASTは、アプリケーションのコードとシステムとの相互作用を検査し、ソフトウエアを実行する必要性を回避します。
こちらご参照ください:バッファオーバーフロー攻撃
SASTの例
- コーディングエラーの特定 SASTは、コード内のバッファオーバーフロー、SQLインジェクション、クロスサイトスクリプティング脆弱性などの問題を特定することができます。
- 脆弱性の早期発見: SAST は開発段階で実装できるため、開発者はソフトウエアライフサイクルの早い段階でセキュリ ティ問題を検出し、修正することができます。
SASTの利点と欠点
長所:
- 早期発見: 開発中にソースコードを分析することで、SASTはセキュリティの脆弱性が大きな問題になる前に特定することができます。
- 詳細な分析 SASTは、ソースコードを調査することにより、潜在的なセキュリティ問題を包括的に把握することができ ます。
短所:
- 時間がかかる: SASTは包括的な分析を行うため、時間とリソースを要します。
- 誤認された脅威: SASTは、セキュリティリスクでないコードにフラグを立て、誤検知を引き起こす可能性があります。
SASTの使用
- 潜在的な脆弱性を特定するために、開発プロセスの早い段階でSASTを導入します。
- 誤検知の可能性をふるい分け、重大なセキュリティ・リスクをもたらす脅威に焦点を絞ります。
