在数字化转型加速的时代，应用安全已从幕后走到台前，成为企业技术战略的核心关注点。多年来，静态应用安全测试（SAST）一直是应用安全领域的主导力量，但随着网络威胁的日益复杂化和软件架构的演进，其固有局限性日益凸显。现代动态应用安全测试（DAST）将迎来爆发性增长，它不会取代 SAST，而是弥补其不足，共同构建更全面的安全防线。

SAST之痛

静态应用安全测试(SAST)曾在应用安全的早期发挥了重要作用。SAST提供了一种无需真正让开发人员参与就能部署安全测试的简便方法，能够在软件交付生命周期早期分析源代码，提供了一种在生产前发现安全问题的更主动的方法。但这也带来了代价。

SAST工具发现的许多漏洞都是潜在的，存在严重的“信息过载”问题。这意味着需要大量的人力和时间来评估和确定风险的优先级。而且这些漏洞信息缺乏关于哪些问题最关键的上下文信息，更不用说如何将它们映射到通用弱点枚举（CWE）类别以确定真正的问题和必要的修复方法。

SAST 工具最初承诺为安全团队提供主动安全测试能力，让团队能在开发周期早期发现并解决安全问题。然而，极端的噪音很快使其成为开发人员的根本问题。由于过度敏感且缺乏上下文感知能力，反而可能降低了安全工作的效率和有效性，将本应是辅助工具的 SAST 变成了一个需要大量人力去管理的负担。在如此多的警报中，开发人员”几乎不可能确定哪些问题需要优先修复”，导致资源分配效率低下，可能忽视真正严重的安全问题。

SAST无法回答真正重要的问题，例如：这段代码是否在生产环境中运行？它是否暴露？它实际上能被利用吗？如果不知道什么是可利用的，风险存在于代码库的哪个位置，以及如何修复它，测试出来的只是一堆毫无意义的警报。

现代动态应用安全测试(DAST)应运而生。DAST通过在运行时测试应用程序，精确定位真实风险而非理论风险，彻底改变了这一局面。

现代DAST应运而生

动态应用程序安全测试 （DAST）是一种通过模拟外部攻击来识别 Web 应用程序漏洞的方法。与在部署前检查源代码的静态应用程序安全测试 （SAST） 不同，DAST 通过探测 Web 应用程序的输入和响应来模拟真实世界的攻击。

作为一种黑盒测试方法，DAST对于检测可远程利用的漏洞（如SQL注入和跨站点脚本（XSS））以及特定于运行时的安全问题（如错误配置和身份验证缺陷）非常有用。成熟且集成良好的DAST工具可以扫描API，检测复杂Web应用程序中的应用程序漏洞，并集成到软件开发生命周期（SDLC）中的现代DevSecOps工作流中。

DAST提供的不再是充满”潜在”问题的报告，而是清晰地告诉开发人员：这个漏洞在这个服务中、在这行代码上是可利用的。

使用与组织规模和需求相匹配的准确DAST对于主动识别和解决安全漏洞至关重要，以防止它们被利用。DAST的主要优势包括：

1. 与技术无关的应用程序安全测试：DAST扫描是一种黑盒安全测试方法，无论特定的技术栈组件和编程语言或甚至源代码的可用性如何，都可以测试正在运行的应用程序。
2. 持续的内部安全测试：DAST工具提供自动化和按需安全测试，使团队能够在SDLC的多个点检测漏洞，而无需依赖孤立的测试过程或外部渗透测试人员。
3. 与DevSecOps管道集成：现代DAST工具可以无缝集成到CI/CD工作流中，无需中断开发时间表即可进行安全测试。
4. InfoSec和AppSec的一站式工具：使用成熟的解决方案，同一DAST扫描器可以在开发中进行内部安全测试，并在生产中进行外部扫描。
5. 大幅减少的误报：具有基于证明扫描功能的高级DAST解决方案可以自动确认许多类别的漏洞，有助于确定优先级并突出显示可利用的问题，从而最大限度地减少在误报上浪费的时间。
6. 全面的风险评估：通过模拟真实世界的攻击场景，DAST工具可以深入了解应用程序的安全状况和攻击面，有助于检测安全缺陷和错误配置，并协助合规性工作。

值得一提的是，传统DAST也有自己的问题。传统DAST解决方案速度慢，与开发人员工作流不匹配，并且对API视而不见：对生产环境运行扫描需要数小时甚至数天，即使发现了漏洞，也没有办法将它们追溯到源代码以便轻松修复；而没有API测试，传统DAST错过了现代攻击面的大部分，使组织暴露在风险中。

现代DAST工具通过更紧密地集成到开发流程中，并提供更准确、更及时的反馈，来改善开发人员的安全测试体验，使安全成为开发过程的自然组成部分，而不是阻碍或额外负担。

幸运的是，现代DAST解决方案可以更紧密地集成到开发流程中，通过作为代码运行、实时测试API和微服务，并在开发人员工作的地方提供即时反馈来解决这些问题，提供更准确、更及时的反馈。特别是随着AI的兴起，现代DAST提供了更快的速度和更高的效率。工程师和安全团队现在都能在工作流程中获得即时、可行的安全见解，而不再需要筛选大量潜在漏洞。

“现代DAST+SAST”新趋势

现代DAST兴起的结果，并非淘汰SAST，而是将SAST 的全面性和 DAST 的上下文感知能力结合起来，提供一种更智能的安全测试方法，使安全测试从可能阻碍开发速度的障碍转变为支持快速且安全的软件交付的推动力。其优势在于：

• 上下文增强的决策：将 SAST 发现的潜在问题与 DAST 提供的实际运行上下文相结合，使工程师能够了解哪些潜在漏洞在实际环境中确实可被利用，区分理论上的安全问题和实际威胁，获得关于漏洞严重性和影响的更全面视图。
• 优先级确定的改进：这种结合使工程师能够”优先处理重要事项”，从而专注于修复真正构成风险的漏洞，避免在低风险或误报问题上浪费时间，基于实际威胁而非理论可能性分配资源。
• 加速安全软件交付：通过更准确地识别和优先处理真正的安全问题，这种方法能够减少处理误报的时间，加快修复真正问题的速度，”打开闸门”实现更快、更安全的软件交付。

由此可见，DAST 和SAST 不再是孤立的工具，而是相互补充的安全伙伴，为组织提供了前所未有的安全可见性。

对于前瞻性的组织而言，现在正是重新评估安全测试策略的时机。那些能够成功整合 DAST 和SAST，并将它们无缝融入 DevSecOps 流程的企业，将在日益复杂的威胁环境中占据优势。他们不仅能够更快地交付软件，还能确保这些软件在设计上更加安全。

声明：本文来自安全牛，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。