SAST – הבדלי גרסאות
תוכן שנמחק תוכן שנוסף
אין תקציר עריכה |
|||
שורה 1:
'''SAST''' ([[ראשי תיבות]] של: '''S'''tatic '''A'''pplication '''S'''ecurity '''T'''esting) הוא כינוי ל[[ניתוח קוד סטטי|בדיקה סטטית]] של אבטחת יישומים. בדיקה זו משמשת לאבטחת תוכנה על ידי בדיקת קוד המקור של התוכנה לזיהוי חולשות ופגיעויות. אף שתהליך ניתוח הסטטי של קוד מקור קיים כמעט מאז שהומצאו המחשבים, אך הטכניקה התפשטה לניתוח היבטי אבטחה בסוף שנות ה-90 ובדיון הציבורי הראשון [[הזרקת SQL|בהזרקת SQL]] בשנת 1998, כאשר יישומי אינטרנט שילבו טכנולוגיות חדשות כמו [[JavaScript]] [[Adobe Flash Player|ופלאש]].
בניגוד לכלי בדיקת אבטחת יישומים דינמיים ([[DAST]]) [[בדיקות קופסה שחורה|לבדיקות קופסא שחורה]] של פונקציונליות היישום, כלי SAST מתמקדים בתוכן הקוד של היישום, [[בדיקות קופסה לבנה|בדיקת קופסא לבנה]]. כלי SAST סורק את קוד המקור של היישום ומרכיביו כדי לזהות פגיעות אבטחה אפשריות בתוכנה ובארכיטקטורה שלהם. כלי ניתוח סטטי יכולים לזהות כ -50% מהפגיעות האבטחיות הקיימות.<ref>
{{Cite journal|url=https://samate.nist.gov/docs/SA_tool_effect_QoP.pdf|title=Effect of static analysis tools on software security: preliminary investigation.|last=Okun|first=V.|last2=Guthrie|first2=W. F.|date=October 2007|journal=Proceedings of the 2007 ACM Workshop on Quality of Protection|publisher=ACM|doi=10.1145/1314257.1314260|pages=1–5|last3=Gaucher|first3=H.|last4=Black|first4=P. E.}}</ref>
| |||