AST

AST — это процесс автоматизированного анализа исходного кода, байт-кода или бинарного кода приложения на наличие уязвимостей безопасности без его выполнения в рабочей среде. Создан для того, чтобы максимально повысить уровень защищённости приложений, выявить и устранить уязвимости и недекларированные возможности, ускорить выпуск надёжных программных продуктов. Применяется в рамках стратегии безопасной разработки DevSecOps.

Виды AST:

● Статический анализ (SAST, Static Application Security Testing). Это проверка кода «в покое» на этапе разработки.

● DAST — динамическое сканирование с запуском программы в специально смоделированной рабочей среде, а также анализ компонентного состава ПО на предмет проверки фрагментов с открытым исходным кодом (SCA).

● Supply Chain Security (SCS) — исследование цепочки поставок. Здесь проверке подвергается цепочка поставок (все процессы, происходящие с программным продуктом). Благодаря этим показателям можно обнаружить потенциально опасные библиотеки, спрогнозировать уязвимости, которые не были обнаружены на момент сканирования, но могут появиться.