SAST (Static Application Security Testing) и DAST (Dynamic Application Security Testing)- это методологии тестирования безопасности приложений, используемые для поиска уязвимостей безопасности, которые могут сделать приложение уязвимым для атак.

Статическое тестирование безопасности приложений (SAST) - это тип тестирования безопасности, основанный на проверке исходного кода приложения. В целом, SAST включает в себя рассмотрение способов разработки кода для выявления возможных недостатков безопасности.

SAST часто противопоставляют другому термину - динамическое тестирование безопасности приложений (DAST). Разница между ними заключается в том, что при использовании SAST тестировщики читают исходный код, ищут логические недостатки, такие как “loophole” в управлении данными, с помощью чего хакеры могут получить доступ к системам. Напротив, в DAST тестировщики не смотрят исходный код, а вместо этого выполняют поведенческое тестирование - они запускают приложение и таким образом ищут недостатки.

ИТ-специалисты также проводят различие между ними, используя термины «тестирование белого ящика» и «тестирование черного ящика». SAST - это тестирование методом белого ящика, поскольку исходный код приложения доступен и прозрачен. Напротив, DAST - это тестирование методом «черного ящика», потому что исходный код не является частью уравнения. Вместо этого тестеры «черного ящика» полагаются исключительно на поведение приложения.