好色先生TV

動態应用程式安全測試 （DAST）是通過前端分析Web應用程式，通過模擬攻擊發現漏洞的過程。這種類型的方法通過像惡意使用者一樣攻擊應用程式，從“由外而內”評估應用程式。在 DAST 掃描程式執行這些攻擊，查找不屬於預期結果集的結果，並識別安全漏洞。

優點 DAST

• 独立於应用程式
• 立即发现可能被利用的漏洞
• 不需要访问原始程式码

---

缺點 DAST

• 在代码中找不到漏洞的确切位置
• 解释报告需要安全知识
• 测试可能很耗时

據IT安全專業人員稱，應用程式開發和測試仍然是組織最具挑戰性的安全流程。开发人员需要解决方案來幫助他們創建安全代碼，而這正是应用程式安全 （AppSec） 工具發揮作用的地方。

AppSec 是流程、工具和實踐的學科，旨在在整個應用程式生命週期中保護應用程式免受威脅。

有許多方法可以測試应用程式安全性，包括：

• 靜態应用程式安全測試（ SAST ）
• 動態应用程式安全測試（ DAST ）
• 移動应用程式安全測試 （MAST）
• 互動式应用程式安全測試 （IAST）

---

為什麼是 DAST 重要？

DAST 很重要，因為开发人员在構建應用程式時不必完全依賴自己的知識。通過進行 DAST 在 SDLC 期間，您可以在應用程式部署到公眾之前捕獲應用程式中的漏洞。如果不檢查這些漏洞並按此部署應用程式，則可能導致數據洩露，從而導致重大經濟損失並損害您的品牌聲譽。在軟體開發生命週期 （SDLC） 的某個階段，人為錯誤將不可避免地發揮作用，並且在 SDLC 期間越早發現漏洞，修復成本就越低。

什麼時候 DAST 作為持續集成/持續開發 （CI/CD） 管道的一部分包含在內，這稱為“安全 DevOps”或“DevSecOps”。

---

如何 DAST 工作？

一個 DAST 掃描程式在正在運行的應用程式中搜索漏洞，然後在發現允許 、跨網站腳稿 （XSS） 等攻擊的缺陷時發送自動警報。因為 DAST 工具可以在動態環境中運行，它們可以檢測運行時缺陷 SAST 工具無法識別。

以建築物為例，一個 DAST 掃描器可以被看作是保安。然而，這名警衛不僅確保門窗上鎖，還更進一步，試圖闖入建築物。警衛可能會試圖撬開門上的鎖或打破窗戶。完成檢查后，警衛可以向大樓經理報告，並解釋他如何能夠闖入大樓。一個 DAST 掃描程式也可以以同樣的方式思考——它會主動嘗試在運行環境中查找漏洞，以便DevOps團隊知道在哪裡以及如何修復它們。

---

什麼是 DAST 非常適合开发人员的工具？

好色先生TV? Fortify? WebInspect 提供自动化的動態应用程式安全測試，因此您可以掃描和修復可利用的 Web 應用程式漏洞。

通常 DAST 在生產後完成，因為它正在類比對正在運行的應用程式的攻擊;而是通過做出“轉變”的決定 DAST 左“（移動 DAST 在開發過程的早期），您可以更快地檢測到漏洞，從而節省時間和金錢。 Fortify WebInspect 包括預構建的掃描策略，可在速度需求與組織需求之間取得平衡。

Fortify WebInspect 還包括增量掃描功能，允許您僅快速評估應用程式已更改區域中的漏洞。

Fortify WebInspect 允許您：

• 通過自动化保護DevOps DAST
• 大規模管理 AppSec 風險
• 遵守主要数据安全法规
• 轉變 DAST 左
• 對現代框架和 API 進行爬網
• 构建更强大的础辫辫厂别肠计划

---

這兩者之間有什麼不一樣 SAST 和 DAST?

DAST 像惡意使用者一樣攻擊應用程式，從“由外而內”攻擊應用程式。在 DAST 掃描程式執行這些攻擊，查找不屬於預期結果集的結果，並識別安全漏洞。

厂础厂罢另一方面，分析静态环境，即应用程式的原始程式码。它从“由内而外”查看应用程式，搜索代码中的漏洞。

為了最大限度地提高安全態勢的強度，最佳做法是同時使用這兩種方法 SAST 和 DAST.通過跨測試方法實現這種統一的分類，您可以全面瞭解漏洞。

---

在 好色先生TV Fortify...

我們透過動態应用程式安全測試來改進您的 SDLC（ DAST ）。 Fortify WebInspect 提供保護和分析應用程式所需的技术和報告。根據設計，這個和其他好色先生TV 工具彌合了現有技术和新興技术之間的差距，這意味著您可以在數位轉型的競爭中以更低的風險更快地创新和交付应用程式。

Fortify 提供最全面的靜態和動態应用程式安全測試技术，以及運行時應用程式監控和保護，並以行业領先的安全研究為後盾。