Co je SAST (Statické testování bezpečnosti aplikací)?
SAST je typ testování bezpečnosti aplikací, který kontroluje zdrojový kód aplikace (původní kód napsaný vývojáři), závislosti (externí knihovny nebo balíčky, na které se kód spoléhá) nebo binární soubory (zkompilovaný kód připravený k běhu) před jeho spuštěním. Tento přístup se často nazývá testování “white-box”, protože zkoumá vnitřní logiku a strukturu kódu kvůli zranitelnostem a chybám, spíše než aby testoval pouze chování aplikace zvenčí.
Proč je SAST důležitý v kybernetické bezpečnosti
Zabezpečení kódu je klíčovou součástí DevSecOps. SAST pomáhá organizacím najít zranitelnosti jako SQL Injection, Cross-Site Scripting (XSS), slabé šifrování a další bezpečnostní problémy v rané fázi životního cyklu vývoje softwaru. To znamená, že týmy mohou problémy řešit rychleji a za nižší náklady.
Jak SAST funguje
- Analyzujte zdrojový kód, binární soubory nebo bytecode bez jejich spuštění.
- Identifikuje zranitelnosti v programovacích praktikách (např. chybějící validace, vystavený API klíč)
- Integrace do vývojářského workflow (CI/CD)
- Generujte zprávu o nalezených zranitelnostech a poskytněte návod, jak je vyřešit (remediace)
Běžné zranitelnosti nalezené pomocí SAST
- SQL Injection
- Cross-site scripting (XSS)
- Použití nezabezpečených kryptografických algoritmů (např. MD5, SHA-1)
- Vystavené API klíčové údaje v hardcodovaném
- Přetečení bufferu
- Chyba validace
Výhody SAST
- Nižší náklady: oprava zranitelností v rané fázi je levnější než po nasazení
- Včasná detekce: nachází bezpečnostní problémy během vývoje.
- Podpora shody: sladění se standardy jako OWASP, PCI DSS a ISO 27001.
- Shift-left bezpečnost: integrace bezpečnosti do vývojového workflow od začátku
- Přátelské pro vývojáře: Poskytuje vývojářům konkrétní kroky k opravě bezpečnostních problémů.
Příklad
Během testu SAST nástroj najde bezpečnostní problémy, kde vývojáři používají nezabezpečený MD5 k hashování hesel. Nástroj SAST to označí jako zranitelnost a navrhuje nahradit MD5 algoritmy bcrypt nebo Argon2, které jsou silnější ve srovnání s MD5.