SAST vs DAST vs (IAST/RASP)：快速 AppSec 检查清单

Source: Dev.to

概览

如果你从事应用安全或代码审查工作，可能已经听说过 SAST、DAST、IAST 和 RASP 这些缩写。它们解决不同的问题，并适用于软件开发生命周期（SDLC）的不同阶段。下面提供了一个实用的拆解，帮助你为特定任务选择合适的工具。

SAST（静态应用安全测试）

• 功能： 在不运行应用程序的情况下分析源代码或二进制文件。
• 使用时机： 开发早期（IDE、CI 流水线）。
• 优势： 能捕获常见问题，如注入漏洞、不安全的逻辑以及 API 使用不当。
• 权衡： 可能产生误报，且缺乏运行时上下文信息。

DAST（动态应用安全测试）

• 功能： 从外部对正在运行的应用程序进行测试。
• 使用时机： 适用于类似生产环境的场景。
• 优势： 能发现真实且可利用的问题，如认证缺陷、配置错误和运行时注入漏洞。
• 权衡： 对源代码的可见性有限。

IAST / RASP（交互式/应用安全测试 与 运行时应用自我防护）

• 功能： 在运行时嵌入应用内部，结合代码层面的洞察与真实执行数据。
• 使用时机： 适用于高置信度的发现和生产环境监控。
• 优势： 提供运行时可视性，并可对攻击提供防护。
• 权衡： 需要进行仪器化，并会增加运行时开销。

选择合适的工具

没有单一的“最佳”选项。大多数成熟的安全项目会组合使用：

• SAST 用于早期反馈。
• DAST 用于真实世界的攻击模拟。
• IAST/RASP 用于运行时可视性和防护。

安全编码实践清单

一份简明的清单，对比这些方法，说明它们最适合的使用场景，并指出仅依赖单一工具时常见的错误。

Secure Coding Practices Checklist

如果你正在进行代码审查、威胁建模或构建 AppSec 流水线，这份清单可以帮助你节省时间，并在每个阶段选择合适的工具。