安全测试工具分为 SAST、DAST和IAST 您知道吗？

相信刚刚步入安全测试领域的同学都会发现，安全测试领域工具甚多，不知如何选择！其实安全测试工具大致分为三类：SAST、DAST和IAST。本文就带大家快速的了解这三者的本质区别！

SAST （Static Application Security Testing ）

静态应用程序安全测试在非运行时扫描和分析静态代码。SAST易于部署，并在部署时查找代码中预测安全风险的模式。虽然有帮助，但SAST过程中也有缺陷。SAST只能在运行前的开发早期阶段运行以进行检测和分析。常用工具包括fortify、CheckMarx等等。

DAST（Dynamic application security testing）

动态应用程序安全测试是一种较慢的测试方法，它侧重于通过渗透测试从外部测试安全性。它是一个黑盒测试工具，在应用程序运行时进行扫描。它通过渗透测试从外部寻找安全漏洞，并且不使用或不需要源代码或二进制代码。常用工具包括burpsuite，appscan、zap等等。

IAST（Interactive Application Security Testing）

交互式应用程序安全性测试建立在SAST和DAST的基础上，并解决了两者之间的不足，理念是安全开发左移。IAST是一种在应用程序运行时，通过插桩技术，动态地获取应用程序运行时的各种上下文信息，从而发现应用程序中可能存在的漏洞。这种技术相比其他传统的手动检查代码或者黑盒测试，可以更准确地发现潜在的安全风险。常用工具包括：Invicti 、Checkmarx IAST 、Contrast Assess 、HCL AppScan 、Opentext Fortify On Demand等等。

我的每一篇文章都希望帮助读者解决实际工作中遇到的问题！如果文章帮到了您，劳烦点赞、收藏、转发！您的鼓励是我不断更新文章最大的动力！