Segurança
A comparação entre SCA, SAST, IAST, MAST e DAST envolve diferentes abordagens para testar a segurança de softwares e aplicações. Veja a seguir uma explicação e comparação de cada um:
Software Composition Analysis¶
Análise de componentes de software de terceiros. O SCA analisa o código de terceiros ou bibliotecas de código aberto que uma aplicação utiliza, verificando se há vulnerabilidades conhecidas nesses componentes.
Identificação de dependências de código externo, como bibliotecas ou frameworks, que podem ter falhas de segurança conhecidas.
Static Application Security Testing (SAST)¶
Análise de código-fonte estático.O SAST examina o código-fonte ou o código compilado de uma aplicação em busca de falhas de segurança sem a necessidade de executá-la.
A análise ocorre antes de a aplicação ser executada, permitindo encontrar vulnerabilidades no código, como SQL injection, buffer overflow, falhas de criptografia, entre outras.
Interactive Application Security Testing (IAST)¶
Análise dinâmica interativa, durante a execução da aplicação. O IAST combina características do SAST e do DAST, monitorando a aplicação enquanto ela está em execução para detectar vulnerabilidades interativas. Realiza a análise enquanto a aplicação está em uso, combinando dados de análise estática e dinâmica para uma verificação mais profunda.
Mobile Application Security Testing (MAST)¶
Teste de segurança de aplicações móveis. MAST é uma metodologia de teste de segurança aplicada especificamente para aplicativos móveis, tanto para plataformas Android quanto iOS.
Identificação de falhas de segurança exclusivas de aplicações móveis, como problemas de configuração, vazamento de dados, falhas de criptografia, permissões inseguras e outros riscos relacionados a dispositivos móveis.
Dynamic Application Security Testing (DAST)¶
Teste de segurança de aplicações em execução. O DAST realiza testes de segurança em tempo real em aplicações web ou APIs enquanto elas estão sendo executadas, simulando ataques de fora para dentro (black-box testing). Identificação de falhas de segurança em tempo de execução, sem acesso ao código-fonte. O DAST simula ações de um atacante para encontrar vulnerabilidades como XSS, CSRF, injeção de comandos, etc.
Comparação¶
| Aspecto | SCA | SAST | IAST | MAST | DAST |
|---|---|---|---|---|---|
| Tipo de Análise | Análise estática de dependências externas | Análise estática de código-fonte | Análise dinâmica e estática combinada | Análise de segurança de aplicativos móveis | Análise dinâmica em tempo de execução |
| Fase do Ciclo de Vida | Durante o desenvolvimento e manutenção | Durante o desenvolvimento | Durante o teste/execução da aplicação | Durante o desenvolvimento ou pós-desenvolvimento | Durante a execução da aplicação |
| Cobertura de Segurança | Vulnerabilidades em bibliotecas de terceiros | Vulnerabilidades no código da aplicação | Vulnerabilidades no código e interações durante a execução | Vulnerabilidades específicas de aplicativos móveis | Vulnerabilidades de runtime, como XSS, SQLi |
| Exemplo de Vulnerabilidade | Uso de bibliotecas vulneráveis | SQL Injection, buffer overflow | Falhas de segurança durante a execução | Armazenamento inseguro de dados, falhas de permissões | XSS, CSRF, SQL Injection, vazamento de dados |
| Acesso Necessário | Acesso ao código e dependências externas | Acesso ao código-fonte ou compilado | Acesso ao ambiente de execução | Acesso ao aplicativo móvel (código e dispositivos) | Acesso à aplicação em execução |
| Ambiente | Código-fonte, dependências externas | Código-fonte, código compilado | Ambiente de execução (testes em produção ou dev) | Aplicações móveis em emuladores ou dispositivos reais | Ambiente de produção ou teste |