SAST
SAST (ראשי תיבות של: Static Application Security Testing) הוא כינוי לבדיקה סטטית של אבטחת יישומים. בדיקה זו משמשת לאבטחת תוכנה על ידי בדיקת קוד המקור של התוכנה לזיהוי חולשות ופגיעויות. אף שתהליך ניתוח הסטטי של קוד מקור קיים כמעט מאז שהומצאו המחשבים, אך הטכניקה התפשטה לניתוח היבטי אבטחה בסוף שנות ה-90 ובדיון הציבורי הראשון בהזרקת SQL בשנת 1998, כאשר יישומי אינטרנט שילבו טכנולוגיות חדשות כמו JavaScript ו-Adobe Flash Player.
בניגוד לכלי בדיקת אבטחת יישומים דינמיים (DAST) לבדיקות קופסה שחורה של פונקציונליות היישום, כלי SAST מתמקדים בתוכן הקוד של היישום, בדיקת קופסה לבנה. כלי SAST סורק את קוד המקור של היישום ומרכיביו כדי לזהות פגיעות אבטחה אפשריות בתוכנה ובארכיטקטורה שלהם. כלי ניתוח סטטי יכולים לזהות כ-50% מהפגיעות האבטחיות הקיימות.[1]
במחזור החיים של פיתוח מוצר תוכנה מבוצעת SAST מוקדם בתהליך הפיתוח וברמת הקוד, וגם כאשר כל חלקי הקוד והרכיבים מורכבים בסביבת בדיקות עקבית. SAST משמש גם להבטחת איכות תוכנה.[2] לעיתים, מקרים רבים של תוצאות "חיובי כוזב" (false-positive) מעכבים את אימוצה על ידי מפתחים.[3]
כלי SAST משולבים בתהליך הפיתוח כדי לסייע לצוותי הפיתוח מכיוון שהם מתמקדים בעיקר בפיתוח ומסירת תוכנה המתייחסת למפרט המבוקש.[4] כלי SAST, כמו כלי אבטחה אחרים, מתמקדים בהפחתת הסיכון להשבתה של יישומים או שמידע פרטי המאוחסן ביישומים לא ייפגע.
לשנת 2018, מסד הנתונים של Privacy Rights Clearinghouse[5] הראה כי יותר מ-612 מיליוני רשומות נפגעו מפריצה.
הערות שוליים
- ^ Okun, V.; Guthrie, W. F.; Gaucher, H.; Black, P. E. (באוקטובר 2007). "Effect of static analysis tools on software security: preliminary investigation" (PDF). Proceedings of the 2007 ACM Workshop on Quality of Protection. ACM: 1–5. doi:10.1145/1314257.1314260.
{{cite journal}}
: (עזרה) - ^ Ayewah, N.; Hovemeyer, D.; Morgenthaler, J.D.; Penix, J.; Pugh, W. (בספטמבר 2008). "Using static analysis to find bugs". IEEE Software. IEEE. 25 (5): 22–29. doi:10.1109/MS.2008.130.
{{cite journal}}
: (עזרה) - ^ Johnson, Brittany; Song, Yooki; Murphy-Hill, Emerson; Bowdidge, Robert (במאי 2013). "Why don't software developers use static analysis tools to find bug". ICSE '13 Proceedings of the 2013 International Conference on Software Engineering: 672–681. ISBN 978-1-4673-3076-3.
{{cite journal}}
: (עזרה) - ^
Oyetoyan, Tosin Daniel; Milosheska, Bisera; Grini, Mari (במאי 2018). "Myths and Facts About Static Application Security Testing Tools: An Action Research at Telenor Digital". International Conference on Agile Software Development. Springer: 86–103.
{{cite journal}}
: (עזרה) - ^ "Data Breaches | Privacy Rights Clearinghouse". privacyrights.org.
SAST31313010