Zpět na domů

DAST SAST SCA IAST RASP: průvodce nástroji

Článek rozebírá kategorie nástrojů bezpečnosti aplikací: SAST, DAST, SCA, IAST, RASP. Uvádí bezplatné OSS varianty jako OWASP ZAP, SonarQube, Trivy s výhodami/nevýhodami a doporučeními k integraci.

Průvodce SAST DAST SCA: bezplatné skenery zranitelností
Advertisement 728x90

# Nástroje pro analýzu bezpečnosti aplikací: SAST, DAST, SCA, IAST a RASP

Moderní DevSecOps pipeline vyžadují komplexní analýzu zranitelností. SAST skenuje zdrojový kód staticky, DAST testuje spuštěné aplikace dynamicky, SCA kontroluje závislosti, IAST kombinuje statickou a dynamickou analýzu v runtime, zatímco RASP zajišťuje ochranu během provádění. Tyto nástroje se integrují do CI/CD pro včasné odhalení hrozeb.

SAST: statická analýza kódu

Nástroje SAST parsují zdrojové soubory bez spuštění a odhalují SQL-injekce, XSS a nezabezpečená API. Ukazují přesné řádky kódu k opravě, což urychluje vývoj.

Výhody: včasné odhalení, integrace do IDE a CI/CD.

Google AdInline article slot

Nevýhody: falešné poplachy, ignoruje runtime chyby a konfigurace.

Cloudové varianty:

  • SonarCloud: zdarma pro veřejné repozitáře, do 50k LoC v soukromých. Podpora mnoha jazyků, detailní pravidla.
  • Semgrep Cloud: pro týmy do 10 osob, neomezeně v GitHub.
  • CodeQL: nástroj GitHub, vytváří databázi z kódu pro dotazy.

Lokální OSS:

Google AdInline article slot
  • SonarQube Community: self-hosted, instalace přes Docker, 15+ jazyků.
  • Semgrep OSS: CLI skener s pravidly na bázi AST.

DAST: dynamické testování

DAST simuluje útoky na fungující aplikaci zvenčí, bez přístupu k kódu. Odhaluje problémy autentizace, relací a konfigurací.

Výhody: reálné runtime zranitelnosti, nezávislost na technologickém stacku.

Nevýhody: pozdní fáze SDLC, vyžaduje testovací prostředí, neuvede řádky kódu.

Google AdInline article slot

Cloudové:

  • HostedScan: 3–10 skenů/měsíc, OWASP Top 10, Nmap, OpenVAS.

Lokální:

  • OWASP ZAP: API pro CI/CD, podpora Docker.
  • Nuclei: YAML šablony pro CVE, vysoká rychlost.

SCA: analýza závislostí

SCA skenuje open-source knihovny na CVE, licence a zastaralé verze. Klíčové pro řetězce dodávek softwaru.

Výhody: rychlý audit známých zranitelností, automatizace PR.

Nevýhody: pouze známé CVE, šum z tranzitivních závislostí.

Cloudové:

  • Snyk: tipy na opravy, neomezeně OSS.
  • GitHub Dependabot: automatické PR pro aktualizace.

Lokální:

  • Trivy: kontejnery, K8s, IaC.
  • OSV-Scanner: databáze Google OSV.dev.

| Nástroj | Výhody | Nevýhody |

|---------|--------|----------|

| SAST | Včasná oprava, přesné řádky | Falešné +, bez runtime |

| DAST | Reálné útoky, konfigurace | Pozdě, potřeba prostředí |

| SCA | Seznamy CVE, licence | Pouze známé |

| IAST/RASP | Přesnost, blokování | Výkon, nasazení |

IAST a RASP: runtime analýza a ochrana

IAST vkládá agenty pro sledování dat v reálném čase a minimalizuje falešné poplachy. RASP navíc blokuje exploitů.

Výhody: kontext provádění, aktivní ochrana.

Nevýhody: zatížení výkonu, málo OSS variant, složitá integrace.

Plně zdarma řešení jsou vzácná – kategorie je komerční. Doporučuje se kombinovat se SAST/DAST.

Co je důležité

  • SAST + DAST + SCA pokrývají 90 % rizik OWASP Top 10.
  • Integrujte do CI/CD pro shift-left security.
  • Volte OSS pro self-hosted kontrolu dat.
  • Zohledněte falešné poplachy: nastavte pravidla.
  • RASP je vhodné pro produkci s vysokou zátěží.

— Editorial Team

Advertisement 728x90

Číst dál