SAST、DAST、IAST几种测试工具的比较
在安全测试中都会遇到SAST(Static Application Security Testing )、DAST(Dynamic Application Security Testing )、IAST(Interactive Application Security Testing )的概念, 这三种工具各有优劣势,根据自己的经验对三种工具的比较如下:
比较项 |
SAST |
DAST |
IAST |
扫描对象 |
源代码 |
运行时的应用程序 |
运行时的应用程序 |
扫描准备 |
简单 |
复杂 |
复杂 |
扫描速度 |
快 |
很慢 |
慢 |
误报率 |
高 |
低 |
低 |
覆盖率 |
高 |
低 |
中 |
对环境的影响 |
无 |
有 |
有 |
测试方法 |
白盒 |
黑盒 |
黑盒 |
与开发语言关系 |
有关 |
无关 |
有关 |
CI/CD集成 |
支持 |
不支持 |
不支持 |
支持测试阶段 |
研发、测试、上线 |
测试、上线 |
测试、上线 |
部署 |
简单 |
简单 |
复杂 |
由于每种工具都有自己的特点,可以根据企业的内部需求,选择合适的工具组合。
总体来说,
SAST工具效率比较高,但是,有误报的问题,需要人工筛选。
DAST基本上没有误报,而且攻击的向量和环境都结合的很好,不需要人工确认,也没有误报,但是,执行速度太慢,在使用敏捷开发的团队,可能很难有效地利用。
IAST由于部署比较麻烦,而且和语言的关联性比较大,有的语言不支持IAST的插桩技术,例如:C和C++等语言,就不能使用IAST了,因此,即使没有什么误报,目前应用的还不是很广泛。
SAST、DAST、IAST几种测试工具的比较相关推荐
- java 测试工具 oracle_几种测试工具的简单介绍
负载测试(Load Test):负载测试是一种性能测试,指数据在超负荷环境中运行,程序是否能够承担. 二.WinRunner WinRunner 是一种企业级的功能测试工具,用于检验企业应用程序是否能 ...
- socks5代理IP的几种测试工具
socks5代理IP和HTTP代理存在着一定的区别,它们的使用网络协议存在区别,在使用方式上也存在区别,HTTP代理IP可以通过浏览器设置代理进行测试,而socks5代理IP却不能直接通过浏览器设置代 ...
- 黑盒测试可不只是点点点,这些5种测试工具也必须要会!
对于不了解软件测试或者刚进行不久的人们来说,黑盒测试就是点点点,没有技术含量,但是我要说的,错!黑盒测试也是一项极具技术含量的工作! 黑盒测试 黑盒测试就是把程序看作是一个不透明的黑盒子,对程序进行数 ...
- 渗透测试与自动化安全测试工具比较
应用程序安全性并不新鲜,但它在需求.复杂性和深度方面正迅速增长.随着网络犯罪自疫情爆发以来增长了近600%,越来越多的SaaS企业开始争相保护他们的应用程序.即使那些运行最新端点保护的系统也面临重大漏 ...
- 常用的安全渗透测试工具(渗透测试工具)
常用的安全渗透测试工具(渗透测试工具) 应用程序安全性并不新鲜,但它在需求.复杂性和深度方面正迅速增长.随着网络犯罪自疫情爆发以来增长了近600%,越来越多的SaaS企业开始争相保护他们的应用程序.即 ...
- 电缆的验证、鉴定和认证应该选择什么测试工具
在电缆的测试安装时,有以下几种测试工具选择:验证.鉴定及认证.当您要进行电缆认证时,不同测试工具的部分功能会有重叠,但可以学习以下几个问题,以帮助您选择正确的测试工具. (1)电缆验证测试连接是否正确 ...
- ActiveMQ测试工具
1. 测试工具 目前使用两种测试工具进行压力测试 1. Jmeter 测试单客户端收发多主题,测试高并发,大数据量时的接收效率 2. emqtt_benchmark测试多客户端收发主题,测试高吞吐 ...
- 【总结】个人推荐的接口测试工具和接口性能/压力测试工具
一般接口有2种测试,现在很多是模糊了这个,但是如果细分.一般还要写<接口测试用例>和<接口性能测试用例>.同样,也分接口测试报告和接口性能测试报告. 接口的本质及其工作原理 接 ...
- SNMP采集测试工具使用方法
本文档内容应用范围:当现场对新设备做采集参数接入时,两种测试工具MibBrowser 和 SnmpWalk使用方法详述. 一.Mibbrowser工具 1.功能介绍: 获取SNMP设备Mib信息的免费 ...
最新文章
- java执行class找不到_命令行运行java的class文件提示找不到或无法加载主类
- 六间房与花椒直播重组首次交割完成
- [DefaultProperty(Text),ToolboxData()]
- spark计算TF-IDF值(中文)
- ElasticSearch高可用集群环境搭建和分片原理
- 【Docker】安装与常用命令
- 译注(3): NULL-计算机科学上最糟糕的失误
- 台式计算机单核与双核,什么是单核cpu、双核cpu 单核cpu和双核cpu的区别是什么...
- [转]Microsoft Solution Framework 微软解决方案框架结构
- 翼支付和银行网络连通准备
- 推特警告称开发者 API 密钥或遭泄露
- darknet53 作用_darknet53 yolo 下的识别训练
- TOPSIS法(小白必看文章包含详细源代码及注释)
- GPU Pro 7——实时体积云(翻译,附Unity工程)
- Rietveld, or “How to revamp your code review process”
- 当笑神姜涛遇上尼古拉斯赵四,低俗加上恶俗的结果是否就是封杀?
- 用Python爬取QQ音乐评论并制成词云图
- 1.3 基于协同过滤的电影推荐案例
- Java学习笔记day18-红黑树-Map
- http协议,http状态码,请求,响应