O que é o teste din?mico de seguran?a de aplicativos (DAST)? 好色先生TV

Tópicos técnicos

O que é o teste din?mico de seguran?a de aplicativos (DAST)?

Ilustra??o de itens de TI com foco em um ponto de interroga??o

Vis?o geral

O teste din?mico de seguran?a de aplicativos (DAST) é o processo de análise de um aplicativo da Web por meio do front-end para encontrar vulnerabilidades por meio de ataques simulados. Esse tipo de abordagem avalia o aplicativo de "fora para dentro", atacando um aplicativo como um usuário mal-intencionado faria. Depois que um scanner DAST realiza esses ataques, ele procura resultados que n?o fazem parte do conjunto de resultados esperados e identifica vulnerabilidades de seguran?a.

Teste de seguran?a de aplicativos din?micos (DAST)

Prós de DAST

Independente do aplicativo
Localiza imediatamente as vulnerabilidades que podem ser exploradas
N?o requer acesso ao código-fonte

Contras de DAST

N?o encontra o local exato de uma vulnerabilidade no código
? necessário conhecimento de seguran?a para interpretar os relatórios
O teste pode ser demorado

O desenvolvimento e o teste de aplicativos continuam sendo o processo de seguran?a mais desafiador para as organiza??es, de acordo com os profissionais de seguran?a de TI. Os desenvolvedores precisam de solu??es para ajudá-los a criar códigos seguros, e é aí que as ferramentas de seguran?a de aplicativos (AppSec) entram em a??o.

AppSec é a disciplina de processos, ferramentas e práticas que visa a proteger os aplicativos contra amea?as durante todo o ciclo de vida do aplicativo.

Há muitas maneiras de testar a seguran?a do aplicativo, incluindo:

Teste estático de seguran?a de aplicativos (SAST)
Teste de seguran?a de aplicativos din?micos (DAST)
Teste de seguran?a de aplicativos móveis (MAST)
Teste interativo de seguran?a de aplicativos (IAST)

Por que o site DAST é importante?

DAST é importante porque os desenvolvedores n?o precisam confiar apenas em seu próprio conhecimento ao criar aplicativos. Ao conduzir o DAST durante o SDLC, você pode detectar vulnerabilidades em um aplicativo antes que ele seja implantado para o público. Se essas vulnerabilidades n?o forem verificadas e o aplicativo for implementado como tal, isso poderá levar a uma viola??o de dados, resultando em grandes perdas financeiras e danos à reputa??o da sua marca. O erro humano inevitavelmente desempenhará um papel em algum momento do ciclo de vida de desenvolvimento de software (SDLC) e, quanto mais cedo uma vulnerabilidade for detectada durante o SDLC, mais barata será a corre??o.

Quando o DAST é incluído como parte do pipeline de integra??o contínua/desenvolvimento contínuo (CI/CD), isso é chamado de "DevOps seguro" ou "DevSecOps".

Como funciona o site DAST ?

Um scanner DAST procura vulnerabilidades em um aplicativo em execu??o e envia alertas automatizados se encontrar falhas que permitam ataques como , XSS (Cross-Site Scripting) e outros. Como as ferramentas DAST s?o equipadas para funcionar em um ambiente din?mico, elas podem detectar falhas de tempo de execu??o que as ferramentas SAST n?o conseguem identificar.

Usando o exemplo de um prédio, um scanner DAST pode ser considerado como um guarda de seguran?a. Entretanto, em vez de apenas garantir que as portas e janelas estejam trancadas, esse guarda vai além e tenta invadir fisicamente o prédio. O guarda pode tentar arrombar as fechaduras das portas ou quebrar as janelas. Após concluir esse exame, o vigilante pode se reportar ao gerente do edifício e fornecer uma explica??o de como conseguiu invadir o edifício. Um scanner DAST pode ser pensado da mesma forma: ele tenta ativamente encontrar vulnerabilidades em um ambiente em execu??o para que a equipe de DevOps saiba onde e como corrigi-las.

O que é uma ferramenta do site DAST que é adequada para desenvolvedores?

好色先生TV? Fortify? O WebInspect fornece testes automatizados de seguran?a de aplicativos din?micos para que você possa verificar e corrigir vulnerabilidades exploráveis de aplicativos da Web.

Normalmente, o DAST é feito após a produ??o, pois está emulando ataques em um aplicativo em execu??o; mas, ao tomar a decis?o de "Shift DAST left" (mover o DAST mais cedo no processo de desenvolvimento), você poderá detectar vulnerabilidades mais cedo, o que economiza tempo e dinheiro. Fortify O WebInspect inclui políticas de varredura predefinidas, equilibrando a necessidade de velocidade com seus requisitos organizacionais.

Fortify O WebInspect também inclui um recurso de varredura incremental, que permite avaliar rapidamente as vulnerabilidades apenas nas áreas do aplicativo que foram alteradas.

Fortify O WebInspect permite que você:

Proteja o DevOps com automatiza??o DAST
Gerencie o risco de AppSec em escala
Obter conformidade com as principais normas de seguran?a de dados
Mudar DAST para a esquerda
Rastrear estruturas e APIs modernas
Criar um programa AppSec mais forte

Qual é a diferen?a entre SAST e DAST?

DAST ataca o aplicativo de "fora para dentro", atacando um aplicativo como um usuário mal-intencionado faria. Depois que um scanner DAST realiza esses ataques, ele procura resultados que n?o fazem parte do conjunto de resultados esperado e identifica vulnerabilidades de seguran?a.

SASTPor outro lado, analisa ambientes estáticos, ou seja, o código-fonte de um aplicativo. Ele examina o aplicativo de "dentro para fora", procurando vulnerabilidades no código.

Para maximizar a for?a de sua postura de seguran?a, é uma prática recomendada usar os sites SAST e DAST. Ter essa taxonomia unificada entre os métodos de teste permite que você tenha uma vis?o completa das vulnerabilidades.

Em 好色先生TV Fortify ...

Aprimoramos seu SDLC com o Teste Din?mico de Seguran?a de Aplicativos (DAST). Fortify O WebInspect fornece a tecnologia e os relatórios de que você precisa para proteger e analisar seus aplicativos. Por design, essa e outras ferramentas do 好色先生TV preenchem a lacuna entre as tecnologias existentes e as emergentes, o que significa que você pode inovar e fornecer aplicativos mais rapidamente, com menos riscos, na corrida para a transforma??o digital.

Fortify oferece as mais abrangentes tecnologias de teste de seguran?a de aplicativos estáticos e din?micos, além de monitoramento e prote??o de aplicativos em tempo de execu??o, com o respaldo de pesquisas de seguran?a líderes do setor.

Em destaqueEm destaque

Analytics CloudAnalytics Cloud

Banco de dados analíticoBanco de dados analítico

Análise de dados n?o estruturadosAnálise de dados n?o estruturados

Inteligência de negócios e relatóriosInteligência de negócios e relatórios

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Pesquisa empresarialPesquisa empresarial

Aviator Pesquisa

Business Network CloudBusiness Network Cloud

Integra??o da cadeia de suprimentosIntegra??o da cadeia de suprimentos

Servi?os de integra??o B2BServi?os de integra??o B2B

Colabora??o do ecossistemaColabora??o do ecossistema

Rede de negócios Aviator

Content CloudContent Cloud

Gerenciamento de documentosGerenciamento de documentos

Gerenciamento de conteúdo de IAGerenciamento de conteúdo de IA

Integra??es de negóciosIntegra??es de negócios

Captura e processamento inteligente de documentosCaptura e processamento inteligente de documentos

Information ArchivingInformation Archiving

Automa??o de processosAutoma??o de processos

Governan?a da informa??oGovernan?a da informa??o

Conteúdo Aviator

Cybersecurity CloudCybersecurity Cloud

Seguran?a de aplicativosSeguran?a de aplicativos

Identity and Access ManagementIdentity and Access Management

Privacidade e prote??o de dadosPrivacidade e prote??o de dados

Investiga??es e perícias digitaisInvestiga??es e perícias digitais

Inteligência sobre amea?as

Detec??o e resposta a amea?asDetec??o e resposta a amea?as

Seguran?a cibernética Aviator

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

PPM e gerenciamento estratégico PortfolioPPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidadeGerenciamento da qualidade

Teste funcionalTeste funcional

Engenharia de desempenhoEngenharia de desempenho

DevOps Aviator

Experience CloudExperience Cloud

Experiências de marca e na WebExperiências de marca e na Web

MensagensMensagens

Jornada do cliente e dadosJornada do cliente e dados

Media ManagementMedia Management

Análise do centro de contatoAnálise do centro de contato

Experiência Aviator

IT Operations CloudIT Operations Cloud

Gerenciamento de servi?osGerenciamento de servi?os

FinOpsFinOps

AIOps e observabilidadeAIOps e observabilidade

Automa??oAutoma??o

Gerenciamento de redeGerenciamento de rede

Opera??es de TI Aviator

好色先生TV Impulso好色先生TV Impulso

Developer Cloud documenta??o técnica

Aviator Impulso

PortfolioPortfolio

Prote??o de dados e backup de endpointsProte??o de dados e backup de endpoints

Gerenciamento de endpoints e seguran?a móvelGerenciamento de endpoints e seguran?a móvel

Trabalho híbrido, e-mail e colabora??o em equipeTrabalho híbrido, e-mail e colabora??o em equipe

Arquivamento, eDiscovery e seguran?a de dadosArquivamento, eDiscovery e seguran?a de dados

Informa??es reimaginadas

Inteligência ArtificialInteligência Artificial

SetorSetor

Aplicativos empresariaisAplicativos empresariais

Sua jornada para o sucessoSua jornada para o sucesso

Suporte ao clienteSuporte ao cliente

Servi?os de sucesso do clienteServi?os de sucesso do cliente

Servi?os de consultoria e estratégiaServi?os de consultoria e estratégia

Servi?os de consultoriaServi?os de consultoria

Servi?os de aprendizadoServi?os de aprendizado

Servi?os gerenciadosServi?os gerenciados

Encontre um parceiro 好色先生TVEncontre um parceiro 好色先生TV

Encontre uma solu??o de parceiroEncontre uma solu??o de parceiro

Crescer como parceiroCrescer como parceiro

Torne-se um parceiro

Biblioteca de ativosBiblioteca de ativos

Blogs

EventosEventos

Comunidades

Em destaque

Analytics Cloud

Banco de dados analítico

Análise de dados n?o estruturados

Inteligência de negócios e relatórios

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Pesquisa empresarial

Business Network Cloud

Integra??o da cadeia de suprimentos

Servi?os de integra??o B2B

Colabora??o do ecossistema

Content Cloud

Gerenciamento de documentos

Gerenciamento de conteúdo de IA

Integra??es de negócios

Captura e processamento inteligente de documentos

Information Archiving

Automa??o de processos

Governan?a da informa??o

Cybersecurity Cloud

Seguran?a de aplicativos

Identity and Access Management

Privacidade e prote??o de dados

Investiga??es e perícias digitais

Detec??o e resposta a amea?as

DevOps Cloud

Plataforma DevOps

PPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidade

Teste funcional

Engenharia de desempenho

Experience Cloud

Experiências de marca e na Web

Mensagens

Jornada do cliente e dados

Media Management

Análise do centro de contato

IT Operations Cloud

Gerenciamento de servi?os

FinOps

AIOps e observabilidade

Automa??o

Gerenciamento de rede

好色先生TV Impulso

Portfolio

Prote??o de dados e backup de endpoints

Gerenciamento de endpoints e seguran?a móvel

Trabalho híbrido, e-mail e colabora??o em equipe

Arquivamento, eDiscovery e seguran?a de dados

Inteligência Artificial

Setor

Aplicativos empresariais

Sua jornada para o sucesso

Suporte ao cliente

Servi?os de sucesso do cliente

Servi?os de consultoria e estratégia

Servi?os de consultoria

Servi?os de aprendizado

Servi?os gerenciados

Encontre um parceiro 好色先生TV

Encontre uma solu??o de parceiro

Crescer como parceiro

Biblioteca de ativos

Eventos

Histórias de clientes

好色先生TV Navigator