# Nástroje pro analýzu bezpečnosti aplikací: SAST, DAST, SCA, IAST a RASP
Moderní DevSecOps pipeline vyžadují komplexní analýzu zranitelností. SAST skenuje zdrojový kód staticky, DAST testuje spuštěné aplikace dynamicky, SCA kontroluje závislosti, IAST kombinuje statickou a dynamickou analýzu v runtime, zatímco RASP zajišťuje ochranu během provádění. Tyto nástroje se integrují do CI/CD pro včasné odhalení hrozeb.
SAST: statická analýza kódu
Nástroje SAST parsují zdrojové soubory bez spuštění a odhalují SQL-injekce, XSS a nezabezpečená API. Ukazují přesné řádky kódu k opravě, což urychluje vývoj.
Výhody: včasné odhalení, integrace do IDE a CI/CD.
Nevýhody: falešné poplachy, ignoruje runtime chyby a konfigurace.
Cloudové varianty:
- SonarCloud: zdarma pro veřejné repozitáře, do 50k LoC v soukromých. Podpora mnoha jazyků, detailní pravidla.
- Semgrep Cloud: pro týmy do 10 osob, neomezeně v GitHub.
- CodeQL: nástroj GitHub, vytváří databázi z kódu pro dotazy.
Lokální OSS:
- SonarQube Community: self-hosted, instalace přes Docker, 15+ jazyků.
- Semgrep OSS: CLI skener s pravidly na bázi AST.
DAST: dynamické testování
DAST simuluje útoky na fungující aplikaci zvenčí, bez přístupu k kódu. Odhaluje problémy autentizace, relací a konfigurací.
Výhody: reálné runtime zranitelnosti, nezávislost na technologickém stacku.
Nevýhody: pozdní fáze SDLC, vyžaduje testovací prostředí, neuvede řádky kódu.
Cloudové:
- HostedScan: 3–10 skenů/měsíc, OWASP Top 10, Nmap, OpenVAS.
Lokální:
- OWASP ZAP: API pro CI/CD, podpora Docker.
- Nuclei: YAML šablony pro CVE, vysoká rychlost.
SCA: analýza závislostí
SCA skenuje open-source knihovny na CVE, licence a zastaralé verze. Klíčové pro řetězce dodávek softwaru.
Výhody: rychlý audit známých zranitelností, automatizace PR.
Nevýhody: pouze známé CVE, šum z tranzitivních závislostí.
Cloudové:
- Snyk: tipy na opravy, neomezeně OSS.
- GitHub Dependabot: automatické PR pro aktualizace.
Lokální:
- Trivy: kontejnery, K8s, IaC.
- OSV-Scanner: databáze Google OSV.dev.
| Nástroj | Výhody | Nevýhody |
|---------|--------|----------|
| SAST | Včasná oprava, přesné řádky | Falešné +, bez runtime |
| DAST | Reálné útoky, konfigurace | Pozdě, potřeba prostředí |
| SCA | Seznamy CVE, licence | Pouze známé |
| IAST/RASP | Přesnost, blokování | Výkon, nasazení |
IAST a RASP: runtime analýza a ochrana
IAST vkládá agenty pro sledování dat v reálném čase a minimalizuje falešné poplachy. RASP navíc blokuje exploitů.
Výhody: kontext provádění, aktivní ochrana.
Nevýhody: zatížení výkonu, málo OSS variant, složitá integrace.
Plně zdarma řešení jsou vzácná – kategorie je komerční. Doporučuje se kombinovat se SAST/DAST.
Co je důležité
- SAST + DAST + SCA pokrývají 90 % rizik OWASP Top 10.
- Integrujte do CI/CD pro shift-left security.
- Volte OSS pro self-hosted kontrolu dat.
- Zohledněte falešné poplachy: nastavte pravidla.
- RASP je vhodné pro produkci s vysokou zátěží.
— Editorial Team
Zatím žádné komentáře.