Tətbiqlərin təhlükəsizlik yoxlanışı (SAST, DAST)

SAST (Static Application Security Testing) və DAST (Dynamic Application Security Testing), tətbiqləri hücumlara həssas edə bilən təhlükəsizlik zəifliklərini tapmaq üçün istifadə edilən proqram təhlükəsizliyi testi metodologiyalarıdır.

Statik proqram təhlükəsizlik testi (SAST) proqramın mənbə kodunun yoxlanılmasına əsaslanan təhlükəsizlik testinin bir növüdür. Ümumiyyətlə, SAST, mümkün təhlükəsizlik qüsurlarını müəyyən etmək üçün kodun tərtib edilməsi yollarını təyin etməkdən ibarətdir.

SAST tez-tez başqa bir terminlə ziddiyyət təşkil edir ki, bu da müəyyən mənada onun əksinədir: dinamik tətbiq təhlükəsizliyi testi (DAST). Bu ikisi arasındakı fərq ondan ibarətdir ki, SAST ilə testçilər mənbə kodunu oxuyurlar. Onlar məlumatların idarə edilməsində boşluq kimi məntiqi qüsurları, hakerin sistemə daxil olmaq üçün istifadə edə biləcəyi bir vasitə axtarırlar. Bunun əksinə olaraq, DAST-da testçilər mənbə koduna baxmırlar, əksinə, davranış testi aparırlar – onlar tətbiqi işə salır və qüsurları bu şəkildə axtarırlar.

İT mütəxəssisləri "ağ qutu sınağı" və "qara qutu sınağı" terminlərindən istifadə edərək hər ikisini fərqləndirirlər. SAST ağ qutu testidir, çünki tətbiqin mənbə kodu mövcud və şəffafdır. Bunun əksi olaraq, DAST qara qutu testidir, çünki mənbə kodu məchuldur. Bu halda, qara qutu testçiləri yalnız tətbiqin davranışını təhlil edirlər.