好色先生TV

动态应用程序安全测试 (DAST动态应用程序安全测试（Dynamic Application Security Testing）是通过前端分析网络应用程序，通过模拟攻击发现漏洞的过程。这种方法通过像恶意用户一样攻击应用程序，从 "外部 "对应用程序进行评估。DAST 扫描仪执行这些攻击后，会查找不属于预期结果集的结果，并识别安全漏洞。

优点顿础厂罢

• 独立于应用程序
• 立即发现可被利用的漏洞
• 无需访问源代码

---

缺点顿础厂罢

• 无法找到代码中漏洞的确切位置
• 解读报告需要安全知识
• 测试耗时

IT 安全专业人士认为，应用程序开发和测试仍然是公司最具挑战性的安全流程。开发人员需要解决方案来帮助他们创建安全的代码，而这正是应用安全（AppSec）工具发挥作用的地方。

AppSec 是一门流程、工具和实践的学科，旨在保护应用程序在整个应用生命周期中免受威胁。

测试应用程序安全性的方法有很多，包括

• Static Application Security Testing (SAST)
• Dynamic Application Security Testing (DAST)
• 移动应用安全测试 (MAST)
• 交互式应用程序安全测试 (IAST)

---

DAST 为何重要？

DAST 之所以重要，是因为开发人员在构建应用程序时不必完全依赖自己的知识。通过在 SDLC 期间进行DAST ，您可以在向公众部署应用程序之前发现其中的漏洞。如果这些漏洞没有被检查出来，而应用程序就这样被部署了，这可能会导致数据泄露，造成重大经济损失和品牌声誉受损。在软件开发生命周期（SDLC）的某些阶段，人为错误不可避免地会发挥作用，而在 SDLC 阶段越早发现漏洞，修复成本就越低。

当DAST 作为持续集成/持续开发（CI/CD）管道的一部分时，这被称为 "安全 DevOps "或 "DevSecOps"。

---

DAST 如何工作？

DAST 扫描仪可搜索运行中应用程序中的漏洞，如果发现允许、跨站脚本 (XSS) 等攻击的漏洞，就会自动发出警报。由于DAST 工具具备在动态环境中运行的功能，因此可以检测到SAST 工具无法识别的运行时漏洞。

以建筑物为例，DAST 扫描仪就好比是一名保安。不过，这名保安并不只是确保门窗上锁，而是更进一步，试图实际闯入建筑物。保安可能会尝试撬开门锁或打破窗户。完成检查后，保安可以向大楼经理汇报，并解释他是如何闯入大楼的。DAST 扫描仪也可以这样理解：它会主动尝试查找运行环境中的漏洞，以便 DevOps 团队知道在哪里以及如何修复这些漏洞。

---

什么是适合开发人员使用的DAST 工具？

好色先生TV? Fortify? WebInspect提供自动动态应用程序安全测试，以便扫描和修复可利用的网络应用程序漏洞。

通常情况下，DAST 是在生产之后进行的，因为它是在模拟对正在运行的应用程序的攻击；但是，通过决定 "左移 DAST"（将 DAST 移至开发过程的早期），您就能够更快地检测到漏洞，从而节省时间和金钱。Fortify WebInspect 包括预建扫描策略，在速度需求与组织要求之间实现了平衡。

Fortify WebInspect 还包括增量扫描功能，可让您仅对应用程序中发生变化的区域快速评估漏洞。

Fortify WebInspect 让您可以

• 利用自动化技术确保 DevOps 安全DAST
• 大规模管理 AppSec 风险
• 遵守主要数据安全法规
• 向左移动顿础厂罢
• 抓取现代框架和应用程序接口
• 建立更强大的 AppSec 计划

---

SAST 和DAST 有什么区别？

DAST 从 "外部 "攻击应用程序，就像恶意用户攻击应用程序一样。DAST 扫描仪执行这些攻击后，会查找不属于预期结果集的结果，并识别安全漏洞。

SAST另一方面，"安全分析 "分析的是静态环境，即应用程序的源代码。它从 "内到外 "审视应用程序，搜索代码中的漏洞。

为了最大限度地提高安全态势的强度，最佳做法是同时使用SAST 和DAST 。有了这种跨测试方法的统一分类法，您就能全面了解漏洞。

---

在好色先生TV Fortify ...

我们通过Dynamic Application Security Testing (DAST) 改善您的 SDLC。Fortify WebInspect 为您提供保护和分析应用程序所需的技术和报告。根据设计，该工具和其他好色先生TV 工具可以弥补现有技术和新兴技术之间的差距，这意味着您可以在数字化转型的竞争中，以更低的风险更快地创新和交付应用程序。

Fortify 提供最全面的静态和动态应用程序安全测试技术，以及运行时应用程序监控和保护，并以业界领先的安全研究为后盾。