Tópicos técnicos

O que é Dynamic Application Security Testing (DAST)?

Ilustração de itens de TI com foco em um ponto de interrogação

Visão geral

O teste dinâmico de segurança de aplicativos (DAST) é o processo de análise de um aplicativo da Web por meio do front-end para encontrar vulnerabilidades por meio de ataques simulados. Esse tipo de abordagem avalia o aplicativo de "fora para dentro", atacando um aplicativo como um usuário mal-intencionado faria. Depois que um scanner DAST realiza esses ataques, ele procura resultados que não fazem parte do conjunto de resultados esperados e identifica vulnerabilidades de segurança.

Dynamic Application Security Testing (DAST)

Prós de DAST

Independente do aplicativo
Localiza imediatamente as vulnerabilidades que podem ser exploradas
Não requer acesso ao código-fonte

Contras de DAST

Não encontra o local exato de uma vulnerabilidade no código
É necessário conhecimento de segurança para interpretar os relatórios
O teste pode ser demorado

O desenvolvimento e o teste de aplicativos continuam sendo o processo de segurança mais desafiador para as organizações, de acordo com os profissionais de segurança de TI. Os desenvolvedores precisam de soluções para ajudá-los a criar códigos seguros, e é aí que as ferramentas de segurança de aplicativos (AppSec) entram em ação.

AppSec é a disciplina de processos, ferramentas e práticas que visa a proteger os aplicativos contra ameaças durante todo o ciclo de vida do aplicativo.

Há muitas maneiras de testar a segurança do aplicativo, incluindo:

Static Application Security Testing (SAST)
Dynamic Application Security Testing (DAST)
Teste de segurança de aplicativos móveis (MAST)
Teste interativo de segurança de aplicativos (IAST)

Por que o site DAST é importante?

DAST é importante porque os desenvolvedores não precisam confiar apenas em seu próprio conhecimento ao criar aplicativos. Ao conduzir o DAST durante o SDLC, você pode detectar vulnerabilidades em um aplicativo antes que ele seja implantado para o público. Se essas vulnerabilidades não forem verificadas e o aplicativo for implementado como tal, isso poderá levar a uma violação de dados, resultando em grandes perdas financeiras e danos à reputação da sua marca. O erro humano inevitavelmente desempenhará um papel em algum momento do ciclo de vida de desenvolvimento de software (SDLC) e, quanto mais cedo uma vulnerabilidade for detectada durante o SDLC, mais barata será a correção.

Quando o DAST é incluído como parte do pipeline de integração contínua/desenvolvimento contínuo (CI/CD), isso é chamado de "DevOps seguro" ou "DevSecOps".

Como funciona o site DAST ?

Um scanner DAST procura vulnerabilidades em um aplicativo em execução e envia alertas automatizados se encontrar falhas que permitam ataques como injeções de SQL, XSS (Cross-Site Scripting) e outros. Como as ferramentas DAST são equipadas para funcionar em um ambiente dinâmico, elas podem detectar falhas de tempo de execução que as ferramentas SAST não conseguem identificar.

Usando o exemplo de um prédio, um scanner DAST pode ser considerado como um guarda de segurança. Entretanto, em vez de apenas garantir que as portas e janelas estejam trancadas, esse guarda vai além e tenta invadir fisicamente o prédio. O guarda pode tentar arrombar as fechaduras das portas ou quebrar as janelas. Após concluir esse exame, o vigilante pode se reportar ao gerente do edifício e fornecer uma explicação de como conseguiu invadir o edifício. Um scanner DAST pode ser pensado da mesma forma: ele tenta ativamente encontrar vulnerabilidades em um ambiente em execução para que a equipe de DevOps saiba onde e como corrigi-las.

O que é uma ferramenta do site DAST que é adequada para desenvolvedores?

OpenText™ Fortify™ WebInspect fornece testes automatizados de segurança de aplicativos dinâmicos para que você possa verificar e corrigir vulnerabilidades exploráveis de aplicativos da Web.

Normalmente, a DAST é feita após a produção, pois está emulando ataques em um aplicativo em execução; mas, ao tomar a decisão de "deslocar a DAST para a esquerda" (movendo a DAST para o início do processo de desenvolvimento), você poderá detectar vulnerabilidades mais cedo, o que economiza tempo e dinheiro. Fortify WebInspect inclui políticas de varredura pré-construídas, equilibrando a necessidade de velocidade com seus requisitos organizacionais.

Fortify WebInspect também inclui um recurso de varredura incremental, que permite avaliar rapidamente as vulnerabilidades apenas nas áreas do aplicativo que foram alteradas.

Fortify WebInspect permite que você:

Proteja o DevOps com automatização DAST
Gerencie o risco de AppSec em escala
Obter conformidade com as principais normas de segurança de dados
Mudar DAST para a esquerda
Rastrear estruturas e APIs modernas
Criar um programa AppSec mais forte

Qual é a diferença entre SAST e DAST?

DAST ataca o aplicativo de "fora para dentro", atacando um aplicativo como um usuário mal-intencionado faria. Depois que um scanner DAST realiza esses ataques, ele procura resultados que não fazem parte do conjunto de resultados esperado e identifica vulnerabilidades de segurança.

SASTPor outro lado, analisa ambientes estáticos, ou seja, o código-fonte de um aplicativo. Ele examina o aplicativo de "dentro para fora", procurando vulnerabilidades no código.

Para maximizar a força de sua postura de segurança, é uma prática recomendada usar os sites SAST e DAST. Ter essa taxonomia unificada entre os métodos de teste permite que você tenha uma visão completa das vulnerabilidades.

Em OpenText Fortify ...

Aprimoramos seu SDLC com Dynamic Application Security Testing (DAST). Fortify WebInspect fornece a tecnologia e os relatórios de que você precisa para proteger e analisar seus aplicativos. Por definição, esta e outras ferramentas do OpenText preenchem a lacuna entre as tecnologias existentes e as emergentes, o que significa que você pode inovar e fornecer aplicativos mais rapidamente, com menos riscos, na corrida para a transformação digital.

Fortify oferece as mais abrangentes tecnologias de teste de segurança de aplicativos estáticos e dinâmicos, além de monitoramento e proteção de aplicativos em tempo de execução, com o respaldo de pesquisas de segurança líderes do setor.

Em destaqueEm destaque

Analytics CloudAnalytics Cloud

Data Lakehouse e análisesData Lakehouse e análises

BI, visualização e relatóriosBI, visualização e relatórios

eDiscovery e soluções jurídicaseDiscovery e soluções jurídicas

OpenText™ Aviator Search

Business Network CloudBusiness Network Cloud

Automação da cadeia de suprimentosAutomação da cadeia de suprimentos

Integração B2BIntegração B2B

Colaboração seguraColaboração segura

Rastreabilidade da cadeia de suprimentosRastreabilidade da cadeia de suprimentos

Insights sobre a cadeia de suprimentosInsights sobre a cadeia de suprimentos

Aplicativos e serviços do setorAplicativos e serviços do setor

OpenText™ Business Network Aviator

Content CloudContent Cloud

Gerenciamento de documentosGerenciamento de documentos

Gerenciamento de conteúdo de IAGerenciamento de conteúdo de IA

Capture Processamento inteligente de documentosCapture Processamento inteligente de documentos

Process AutomationProcess Automation

Integrações de negóciosIntegrações de negócios

Information ArchivingInformation Archiving

Soluções para o setorSoluções para o setor

Governança da informaçãoGovernança da informação

OpenText™ Content Aviator

Cybersecurity CloudCybersecurity Cloud

Segurança de aplicativosSegurança de aplicativos

Privacidade e proteção de dadosPrivacidade e proteção de dados

Threat Detecção e respostaThreat Detecção e resposta

Identity and Access ManagementIdentity and Access Management

Investigações e perícias digitaisInvestigações e perícias digitais

Threat IntelligenceThreat Intelligence

OpenText™ Cybersecurity Aviator

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

Functional TestingFunctional Testing

PPM e gerenciamento estratégico PortfolioPPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidadeGerenciamento da qualidade

Engenharia de desempenhoEngenharia de desempenho

OpenText™ DevOps Aviator

Experience CloudExperience Cloud

Experiências na Web e em dispositivos móveisExperiências na Web e em dispositivos móveis

Contact Center AnalyticsContact Center Analytics

Mensagens e FaxMensagens e Fax

Cliente CommunicationsCliente Communications

Gerenciamento de ativos digitaisGerenciamento de ativos digitais

Jornada do cliente e dadosJornada do cliente e dados

OpenText™ Experience Aviator

IT Operations CloudIT Operations Cloud

Service ManagementService Management

Descoberta e CMDBDescoberta e CMDB

AIOps e observabilidadeAIOps e observabilidade

Gerenciamento de redeGerenciamento de rede

Cloud Management, FinOps e GreenOpsCloud Management, FinOps e GreenOps

AutomaçãoAutomação

OpenText™ IT Operations Aviator

OpenText™ ThrustOpenText™ Thrust

OpenText™ Thrust feixeOpenText™ Thrust feixe

OpenText™ Aviator Thrust

PortfolioPortfolio

Proteção de dadosProteção de dados

Gerenciamento de endpoints e segurança móvel Gerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipe Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dadosArquivamento, eDiscovery e segurança de dados

Conectividade e gerenciamento de documentosConectividade e gerenciamento de documentos

Informações reimaginadasInformações reimaginadas

Artificial IntelligenceArtificial Intelligence

SetorSetor

Aplicativos empresariaisAplicativos empresariais

Sua jornada para o sucessoSua jornada para o sucesso

Suporte ao clienteSuporte ao cliente

Serviços de sucesso do clienteServiços de sucesso do cliente

Serviços de consultoria e estratégiaServiços de consultoria e estratégia

Serviços de consultoriaServiços de consultoria

Serviços de aprendizadoServiços de aprendizado

Serviços gerenciadosServiços gerenciados

Encontre um parceiro OpenTextEncontre um parceiro OpenText

Encontre uma solução de parceiroEncontre uma solução de parceiro

Crescer como parceiroCrescer como parceiro

Torne-se um parceiro

Biblioteca de ativosBiblioteca de ativos

Em destaque

Analytics Cloud

Data Lakehouse e análises

BI, visualização e relatórios

eDiscovery e soluções jurídicas

Business Network Cloud

Automação da cadeia de suprimentos

Integração B2B

Colaboração segura

Rastreabilidade da cadeia de suprimentos

Insights sobre a cadeia de suprimentos

Aplicativos e serviços do setor

Content Cloud

Gerenciamento de documentos

Gerenciamento de conteúdo de IA

Capture Processamento inteligente de documentos

Process Automation

Integrações de negócios

Information Archiving

Soluções para o setor

Governança da informação

Cybersecurity Cloud

Segurança de aplicativos

Privacidade e proteção de dados

Threat Detecção e resposta

Identity and Access Management

Investigações e perícias digitais

Threat Intelligence

DevOps Cloud

Plataforma DevOps

Functional Testing

PPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidade

Engenharia de desempenho

Experience Cloud

Experiências na Web e em dispositivos móveis

Contact Center Analytics

Mensagens e Fax

Cliente Communications

Gerenciamento de ativos digitais

Jornada do cliente e dados

IT Operations Cloud

Service Management

Descoberta e CMDB

AIOps e observabilidade

Gerenciamento de rede

Cloud Management, FinOps e GreenOps

Automação

OpenText™ Thrust

OpenText™ Thrust feixe

Portfolio

Proteção de dados

Gerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dados

Conectividade e gerenciamento de documentos

Informações reimaginadas

Artificial Intelligence

Setor

Aplicativos empresariais

Sua jornada para o sucesso

Suporte ao cliente

Serviços de sucesso do cliente

Serviços de consultoria e estratégia

Serviços de consultoria

Serviços de aprendizado

Serviços gerenciados

Encontre um parceiro OpenText

Encontre uma solução de parceiro

Crescer como parceiro

Biblioteca de ativos

Blogs

Eventos

Comunidades

Histórias de clientes

OpenText Navegador