Industry Issue
Industry Issue
SAST 대 DAST: 애플리케이션 보안 테스트를 위한 가장 좋은 방법은 무엇입니까?
SAST | DAST |
화이트박스 보안 테스트
테스터는 기본 프레임워크, 디자인 및 구현에 접근할 수 있습니다. 애플리케이션은 내부에서부터 테스트됩니다. 이러한 유형의 테스트는 개발자 접근 방식을 나타냅니다. |
블랙박스 보안 테스트
테스터는 애플리케이션에 구축된 기술이나 프레임워크에 대한 지식이 없습니다. 애플리케이션은 외부에서 테스트됩니다. 이러한 유형의 테스트는 해커 접근 방식을 나타냅니다. |
소스코드가 필요
SAST에는 배포된 애플리케이션이 필요하지 않습니다. 애플리케이션을 실행하지 않고 소스 코드 및 관련 종속성을 분석합니다. |
실행 중인 애플리케이션이 필요
DAST에는 소스코드나 바이너리가 필요하지 않습니다. 애플리케이션을 실행하여 분석합니다. |
SDLC에서 조기에 취약점 발견
IDE에 포함되어 개발 프로세스의 다양한 단계에서 스캔을 실행할 수 있습니다. |
SDLC 말미에 취약점 발견
취약점은 개발 주기가 끝나거나 프로덕션 단계에서 발견될 수 있습니다. |
취약점 수정 비용이 저렴함
취약점은 SDLC 초기에 발견되므로 이를 해결하는 것이 더 쉽고 빠릅니다. 대부분의 문제는 코드가 QA에 도달하기 전에 식별되고 수정될 수 있습니다. |
취약점을 수정하는 데 비용이 더 많이 들 수 있음
SDLC가 끝날 무렵에 취약점이 발견되므로 문제 해결이 다음 주기로 진행되는 경우가 많습니다. 심각한 취약점은 긴급 릴리스로 수정될 수 있습니다. fAST Dynamic과 같은 솔루션을 사용하면 비용을 쉽게 줄일 수 있습니다. |
런타임 및 환경 관련 문제 발견 불가
SAST 도구는 정적 코드를 스캔하므로 잠재적인 런타임 취약점을 볼 수 없습니다. |
런타임 및 환경 관련 문제 발견 가능
이 도구는 동적 분석을 사용하므로 런타임 취약점을 찾을 수 있습니다. |
원문 게시일: 2024.03.18
원문 기고자: Apoorva Phadke
출처: https://www.synopsys.com/blogs/software-security/sast-vs-dast-difference.html