Static Application Security Testing (SAST) 是什么？

Static Application Security Testing (SAST) 是一种常用的应用程序安全（AppSec）工具，可扫描应用程序的源代码、二进制代码或字节码。作为一种白盒测试工具，它能找出漏洞的根本原因，并帮助修复潜在的安全漏洞。SAST 解决方案从 "内到外 "分析应用程序，无需运行系统即可执行扫描。

SAST 通过向开发人员即时反馈开发过程中引入代码的问题，降低应用程序的安全风险。它有助于在开发人员工作的同时对他们进行安全教育，为他们提供实时访问建议和代码行导航，从而可以更快地发现漏洞并进行协作审核。这样，开发人员就能创建更多不易受到攻击的代码，从而开发出更安全的应用程序，并减少对应用程序和软件不断更新和现代化的需求。

然而，SAST 工具无法识别代码之外的漏洞。例如，在第三方 API 中发现的漏洞不会被 SAST 检测到，而需要Dynamic Application Security Testing (DAST) 。您可以在 "什么是 DAST？

优点SAST

• 扫描源代码，查找导致漏洞的薄弱环节
• 提供实时报告
• 涵盖开发人员使用的语言

缺点SAST

• 无法识别动态环境中的漏洞
• 报告假阳性的高风险
• 由于报告是静态的，因此很快就会过时

IT 安全专业人士认为，应用程序开发和测试仍然是企业最具挑战性的安全流程。开发人员需要解决方案来帮助他们创建安全的代码，而这正是 AppSec 工具发挥作用的地方。

AppSec 是一门流程、工具和实践的学科，旨在保护应用程序在整个应用生命周期中免受威胁。

测试应用程序安全性的方法有很多，包括

• Static Application Security Testing (SAST)
• Dynamic Application Security Testing (DAST)
• 移动应用安全测试 (MAST)
• 交互式应用程序安全测试 (IAST)

SAST 为何重要？

SAST 静态代码分析是软件开发生命周期 (SDLC) 中的一个重要步骤，因为它能在向公众部署应用程序之前发现应用程序中的关键漏洞，而修复这些漏洞的成本最低。正是在静态代码分析的这个阶段，开发人员可以进行编码、测试、修改和再次测试，以确保最终应用程序的功能符合预期，不存在任何漏洞。当SAST 作为持续集成/持续开发（CI/CD）管道的一部分时，这被称为 "安全 DevOps "或 "DevSecOps"。

如果不检查这些漏洞，就这样部署应用程序，可能会导致数据泄露，造成重大经济损失和品牌声誉受损。

---

SAST 如何工作？

SAST 使用静态代码分析工具，可以把它想象成大楼的保安员。与保安员检查未上锁的门和打开的窗是否会让入侵者进入类似，Static Code Analyzer 查看源代码，检查编码和设计缺陷是否会导致恶意代码注入。OWASP 指出，这些恶意攻击的一些示例包括SQL 注入、命令注入和服务器端注入等。

---

什么是适合开发人员使用的SAST 工具？

OpenText™ Fortify™ Static Code Analyzer 准确定位源代码中安全漏洞的根本原因，优先处理最严重的问题，并提供详细的修复指导，这样开发人员就能通过集中式软件安全管理在更短的时间内解决问题。

它能就开发过程中引入代码的问题向开发人员提供即时反馈，从而降低应用程序的安全风险。

Fortify SCA 允许您

• 通过集成的SAST
• 快速分流和修复复杂的安全问题
• 支持主要网络语言
• 在 CI/CD 管道中自动实现安全性
• 启动快速自动扫描
• 扩展您的 AppSec 计划

在Fortify...

我们帮助您经营业务并实现业务转型。我们的软件为您提供构建、运营、保护和分析企业所需的关键工具。这些工具在设计上弥补了现有技术和新兴技术之间的差距，这意味着您可以在数字化转型的竞争中以更低的风险更快地进行创新。

Fortify 提供最全面的静态和动态应用程序安全测试技术，以及运行时应用程序监控和保护，并以业界领先的安全研究为后盾。解决方案可在公司内部部署，也可作为托管服务，以建立一个可扩展的、灵活的软件安全保证计划，满足当今 IT 组织不断变化的需求。