在安全测试中都会遇到SAST(Static Application Security Testing )、DAST(Dynamic Application Security Testing )、IAST(Interactive Application Security Testing )的概念, 这三种工具各有优劣势,根据自己的经验对三种工具的比较如下:

比较项

SAST

DAST

IAST

扫描对象

源代码

运行时的应用程序

运行时的应用程序

扫描准备

简单

复杂

复杂

扫描速度

很慢

误报率

覆盖率

对环境的影响

测试方法

白盒

黑盒

黑盒

与开发语言关系

有关

无关

有关

CI/CD集成

支持

不支持

不支持

支持测试阶段

研发、测试、上线

测试、上线

测试、上线

部署

简单

简单

复杂

由于每种工具都有自己的特点,可以根据企业的内部需求,选择合适的工具组合。

总体来说,

SAST工具效率比较高,但是,有误报的问题,需要人工筛选。

DAST基本上没有误报,而且攻击的向量和环境都结合的很好,不需要人工确认,也没有误报,但是,执行速度太慢,在使用敏捷开发的团队,可能很难有效地利用。

IAST由于部署比较麻烦,而且和语言的关联性比较大,有的语言不支持IAST的插桩技术,例如:C和C++等语言,就不能使用IAST了,因此,即使没有什么误报,目前应用的还不是很广泛。

SAST、DAST、IAST几种测试工具的比较相关推荐

  1. java 测试工具 oracle_几种测试工具的简单介绍

    负载测试(Load Test):负载测试是一种性能测试,指数据在超负荷环境中运行,程序是否能够承担. 二.WinRunner WinRunner 是一种企业级的功能测试工具,用于检验企业应用程序是否能 ...

  2. socks5代理IP的几种测试工具

    socks5代理IP和HTTP代理存在着一定的区别,它们的使用网络协议存在区别,在使用方式上也存在区别,HTTP代理IP可以通过浏览器设置代理进行测试,而socks5代理IP却不能直接通过浏览器设置代 ...

  3. 黑盒测试可不只是点点点,这些5种测试工具也必须要会!

    对于不了解软件测试或者刚进行不久的人们来说,黑盒测试就是点点点,没有技术含量,但是我要说的,错!黑盒测试也是一项极具技术含量的工作! 黑盒测试 黑盒测试就是把程序看作是一个不透明的黑盒子,对程序进行数 ...

  4. 渗透测试与自动化安全测试工具比较

    应用程序安全性并不新鲜,但它在需求.复杂性和深度方面正迅速增长.随着网络犯罪自疫情爆发以来增长了近600%,越来越多的SaaS企业开始争相保护他们的应用程序.即使那些运行最新端点保护的系统也面临重大漏 ...

  5. 常用的安全渗透测试工具(渗透测试工具)

    常用的安全渗透测试工具(渗透测试工具) 应用程序安全性并不新鲜,但它在需求.复杂性和深度方面正迅速增长.随着网络犯罪自疫情爆发以来增长了近600%,越来越多的SaaS企业开始争相保护他们的应用程序.即 ...

  6. 电缆的验证、鉴定和认证应该选择什么测试工具

    在电缆的测试安装时,有以下几种测试工具选择:验证.鉴定及认证.当您要进行电缆认证时,不同测试工具的部分功能会有重叠,但可以学习以下几个问题,以帮助您选择正确的测试工具. (1)电缆验证测试连接是否正确 ...

  7. ActiveMQ测试工具

    1. 测试工具 目前使用两种测试工具进行压力测试  1. Jmeter 测试单客户端收发多主题,测试高并发,大数据量时的接收效率  2. emqtt_benchmark测试多客户端收发主题,测试高吞吐 ...

  8. 【总结】个人推荐的接口测试工具和接口性能/压力测试工具

    一般接口有2种测试,现在很多是模糊了这个,但是如果细分.一般还要写<接口测试用例>和<接口性能测试用例>.同样,也分接口测试报告和接口性能测试报告. 接口的本质及其工作原理 接 ...

  9. SNMP采集测试工具使用方法

    本文档内容应用范围:当现场对新设备做采集参数接入时,两种测试工具MibBrowser 和 SnmpWalk使用方法详述. 一.Mibbrowser工具 1.功能介绍: 获取SNMP设备Mib信息的免费 ...

最新文章

  1. java执行class找不到_命令行运行java的class文件提示找不到或无法加载主类
  2. 六间房与花椒直播重组首次交割完成
  3. [DefaultProperty(Text),ToolboxData()]
  4. spark计算TF-IDF值(中文)
  5. ElasticSearch高可用集群环境搭建和分片原理
  6. 【Docker】安装与常用命令
  7. 译注(3): NULL-计算机科学上最糟糕的失误
  8. 台式计算机单核与双核,什么是单核cpu、双核cpu 单核cpu和双核cpu的区别是什么...
  9. [转]Microsoft Solution Framework 微软解决方案框架结构
  10. 翼支付和银行网络连通准备
  11. 推特警告称开发者 API 密钥或遭泄露
  12. darknet53 作用_darknet53 yolo 下的识别训练
  13. TOPSIS法(小白必看文章包含详细源代码及注释)
  14. GPU Pro 7——实时体积云(翻译,附Unity工程)
  15. Rietveld, or “How to revamp your code review process”
  16. 当笑神姜涛遇上尼古拉斯赵四,低俗加上恶俗的结果是否就是封杀?
  17. 用Python爬取QQ音乐评论并制成词云图
  18. 1.3 基于协同过滤的电影推荐案例
  19. Java学习笔记day18-红黑树-Map
  20. http协议,http状态码,请求,响应

热门文章

  1. 恒讯科技报告:2021-2026年泰国数据中心市场机会
  2. 继承CAcUiStringEdit,改变编辑框的字体颜色,以及背景的颜色
  3. 更新!又一批阿里网盘扩充码!亲测有效!数量较少,抓紧!
  4. 浙江移动盒子魔和m401h 2+8G破解使用网络安装软件
  5. Dev-C++ win10中文乱码
  6. android自定义标尺,Android自定义标尺滑动选择值效果
  7. 你不知道的 Blob
  8. TikTok抖音国际版留存背后的数据和算法推演
  9. Ubuntu云安装桌面版
  10. [TIM] 微信登录TIM生产QQ号【并独立使用】