动态应用安全测试:DAST的利与弊

---

动态应用安全测试(DAST)是一套测试方法，软件开发人员通过模拟恶意行为来寻找应用程序中的安全漏洞，以确定可能被利用的弱点。在黑盒测试中，DAST模拟了黑客会尝试的相同类型的外部攻击，但不需要了解或查看应用程序的架构或内部源代码。

复杂的DAST工具可以执行复杂的扫描，以检测广泛的缺陷，以防止安全漏洞，如分布式拒绝服务(DDoS)攻击、跨站点脚本(XSS)、SQL注入等。而虽然DAST是一个强大的网络安全工具，但它要在接近软件开发生命周期（SDLC）结束时才能使用，因为它需要一个运行的应用程序构建后才能投入工作。

在开发过程中，一旦应用程序准备好通过执行的方式进行测试，一种DAST方法可以进行渗透测试和/或API测试，以便发现缺陷或漏洞，从而将这些发现的问题放在冲刺中进行修复。这有助于DevOps工程师在软件推送出去之前快速解决这些问题。当与其他形式的安全测试（如静态应用安全测试（SAST））相结合时，这提供了一个全面的测试策略，以帮助您的团队交付安全、安全和可靠的软件。

动态应用安全测试的优势是什么？

由于动态应用安全测试方法可以模仿恶意用户的行为，因此它能够向企业准确地展示他们的应用在实时环境中的行为，及早指出风险，以便企业能够进行必要的修复，防止攻击成功。这种方法论有助于发现开发团队没有想到或认为不可能完成的问题。

黑客往往喜欢尽可能长时间地利用安全漏洞，并保持他们的存在，这可能会被安全团队忽视。等到有人意识到应用程序已经被攻破的时候，损失已经造成了。

DAST还能够发现其他形式的测试无法发现的问题。比如服务器配置和认证问题，以及已知用户登录网站后的障碍等问题。而且由于DAST方法是在黑盒级别进行测试，不依赖或不关心源代码，因此它们可以测试任何应用程序，并发现其他测试所遗漏的问题，如身份验证或服务器配置问题。更好的是，DAST可以轻松帮助确保合规性，并简化监管报告。

动态应用安全测试的局限性

虽然动态应用安全测试工具对预防安全问题很有帮助，但也有一些缺点值得注意。一个缺点是，DAST可以依靠安全专家来创建正确的测试程序，很难为每个应用程序创建全面的测试。与此一起，DAST工具可能会创建假阳性测试结果，将应用程序的有效元素识别为威胁。

DAST工具的另一个局限性是，它们只能指出问题的存在，但它不能识别代码本身的问题。单靠DAST，开发人员可能不容易知道从哪里开始寻找解决问题的方法。另外，DAST工具关注的是请求和响应，这可能会错过不少隐藏在架构设计中的缺陷。

DAST通常以相当缓慢的速度运行，需要几天或几周的时间才能完成测试。而且由于它发生在SDLC的后期，发现的问题会给开发团队带来很多任务，从而延长了时间线，增加了成本。另外，由于完成测试可能需要几天或几周的时间，所以当发现问题时，项目生命周期团队内的更多成员会受到影响。在一些冗长的情况下，开发人员可能需要回溯一下，重新熟悉旧代码，然后才能进行必要的修复。

DAST与SAST的差异

DAST通过在运行时寻找利用安全漏洞的方法来模拟恶意攻击和其他外部行为，而SAST则从开发人员的角度进行测试。SAST分析每一行代码，而不必执行应用程序。识别违规，允许测试人员审查它们，并对软件设计和/或实现进行修正。

一旦软件实现开始，就可以执行SAST，因为它查看源代码本身来发现导致安全缺陷的编码规则违规。软件的运行构建对于SAST来说并不是必须的，一旦你发现了标记的代码，你就可以立即开始分类。SAST还通过在软件开发生命周期的早期发现缺陷来降低成本，在这种情况下，它仍然可以快速方便地进行修复。

---

Parasoft满足绝大多数行业标准

Parasoft是一家专门提供软件测试解决方案的公司，帮助企业打造无缺陷的软件。

从开发到质量检查，Parasoft的技术通过集成静态和运行时分析，单元、功能和API测试，以及服务虚拟化，在不牺牲质量和安全性的情况下加快软件交付，节约交付成本。

强大的报告和分析功能可帮助用户快速查明有风险的代码区域，并了解新代码更改如何影响其软件质量，而突破性的技术将人工智能和机器学习添加到软件测试中，使组织更容易采用和扩展跨开发和测试团队的有效的软件测试实践。

Parasoft针对C/C++、Java、.NET和嵌入式的开发测试都有着30多年的深入研究，很多全国500强企业使用Parasoft的产品实现了软件快速、高质量的交付。