SAST

SAST — это инструмент, который используется на этапе разработки приложений для анализа их защищённости. Он проверяет исходный код без его выполнения и ищет потенциальные уязвимости до того, как продукт попадёт к пользователю.

Что выявляет SAST

Решение находит:

• ошибки в коде, приводящие к возникновению уязвимостей;
• дефекты в логике работы;
• потенциальные утечки ключей, токенов и других чувствительных данных;
• уязвимые версии компонентов;
• сложные уязвимости в цепочках операций.

Статическое тестирование безопасности приложений применяется как на начальных этапах разработки, так и на заключительной стадии при подготовке к их релизу.

Алгоритм работы SAST

1. Получает доступ ко всему исходному коду приложения и представляет его в виде, необходимом для дальнейшего анализа.
2. Сопоставляет код с имеющейся информацией об известных уязвимостях согласно собственным внутренним алгоритмам.
3. Выявляет потенциальные уязвимости в коде и ранжирует их по степени критичности.
4. Уведомляет разработчиков о найденных проблемах, чтобы они могли исправить их до выпуска приложения.

На практике многие современные решения SAST работают в автоматическом режиме и осуществляют анализ кода при каждом внесении изменений в репозиторий. Таким образом разработчики получают обратную связь фактически в режиме реального времени.

SAST также известно как тестирование в режиме «белого ящика», поскольку работает с исходным кодом приложения и имеет к нему полный доступ, хоть и не требует выполнения. В этом его основное отличие от DAST, которое ищет ошибки в работающем приложении по принципу «чёрного ящика».

Преимущества SAST

• Экономия бюджета. Выявлять уязвимости на этапе разработки гораздо проще и выгоднее, чем устранять их в уже готовом приложении.
• Полный и всесторонний анализ исходного кода. Инструмент ищет и успешно находит различные типы уязвимостей.
• Простота использования. Современные решения не требуют большого бюджета и трудозатрат на внедрение.
• Автоматизированность работы. После настройки анализ происходит в фоновом режиме без дополнительных действий со стороны разработчика.

Ложноположительные срабатывания в SAST

Так как SAST использует данные об известных уязвимостях без учёта специфики отрасли и конкретного проекта, доля ложноположительных срабатываний (найденных особенностей, не представляющих угрозу) может быть достаточно высокой. Чтобы уменьшить её, важно проводить triage — фильтрацию выявленных уязвимостей. Это позволит отделить так называемый шум от проблем, которые реально могут представлять угрозу.

На основе ложноположительных срабатываний разработчики меняют правила анализа SAST под язык и архитектуру приложения. Это повышает точность работы инструмента и сокращает время реагирования на реальные уязвимости.

В современных комплексных инструментах безопасной разработки часто предусмотрены отдельные решения для снижения количества ложноположительных срабатываний SAST. Например, в Solar appScreener для этих целей используется технология Fuzzy Logic Engine на основе математического аппарата нечёткой логики.