SAST

מתוך ויקיפדיה, האנציקלופדיה החופשית

SAST (ראשי תיבות של: Static Application Security Testing) הוא כינוי לבדיקה סטטית של אבטחת יישומים. בדיקה זו משמשת לאבטחת תוכנה על ידי בדיקת קוד המקור של התוכנה לזיהוי חולשות ופגיעויות. אף שתהליך ניתוח הסטטי של קוד מקור קיים כמעט מאז שהומצאו המחשבים, אך הטכניקה התפשטה לניתוח היבטי אבטחה בסוף שנות ה-90 ובדיון הציבורי הראשון בהזרקת SQL בשנת 1998, כאשר יישומי אינטרנט שילבו טכנולוגיות חדשות כמו JavaScript ו-Adobe Flash Player.

בניגוד לכלי בדיקת אבטחת יישומים דינמיים (DAST) לבדיקות קופסה שחורה של פונקציונליות היישום, כלי SAST מתמקדים בתוכן הקוד של היישום, בדיקת קופסה לבנה. כלי SAST סורק את קוד המקור של היישום ומרכיביו כדי לזהות פגיעות אבטחה אפשריות בתוכנה ובארכיטקטורה שלהם. כלי ניתוח סטטי יכולים לזהות כ-50% מהפגיעות האבטחיות הקיימות.[1]

במחזור החיים של פיתוח מוצר תוכנה מבוצעת SAST מוקדם בתהליך הפיתוח וברמת הקוד, וגם כאשר כל חלקי הקוד והרכיבים מורכבים בסביבת בדיקות עקבית. SAST משמש גם להבטחת איכות תוכנה.[2] לעיתים, מקרים רבים של תוצאות "חיובי כוזב" (false-positive) מעכבים את אימוצה על ידי מפתחים.[3]

כלי SAST משולבים בתהליך הפיתוח כדי לסייע לצוותי הפיתוח מכיוון שהם מתמקדים בעיקר בפיתוח ומסירת תוכנה המתייחסת למפרט המבוקש.[4] כלי SAST, כמו כלי אבטחה אחרים, מתמקדים בהפחתת הסיכון להשבתה של יישומים או שמידע פרטי המאוחסן ביישומים לא ייפגע.

לשנת 2018, מסד הנתונים של Privacy Rights Clearinghouse[5] הראה כי יותר מ-612 מיליוני רשומות נפגעו מפריצה.

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ Okun, V.; Guthrie, W. F.; Gaucher, H.; Black, P. E. (אוקטובר 2007). "Effect of static analysis tools on software security: preliminary investigation.". Proceedings of the 2007 ACM Workshop on Quality of Protection (ACM): 1–5. doi:10.1145/1314257.1314260. 
  2. ^ Ayewah, N.; Hovemeyer, D.; Morgenthaler, J.D.; Penix, J.; Pugh, W. (ספטמבר 2008). "Using static analysis to find bugs". IEEE Software (IEEE) 25 (5): 22–29. doi:10.1109/MS.2008.130. 
  3. ^ Johnson, Brittany; Song, Yooki; Murphy-Hill, Emerson; Bowdidge, Robert (מאי 2013). "Why don't software developers use static analysis tools to find bug". ICSE '13 Proceedings of the 2013 International Conference on Software Engineering: 672–681. ISBN 978-1-4673-3076-3. 
  4. ^ Oyetoyan, Tosin Daniel; Milosheska, Bisera; Grini, Mari (מאי 2018). "Myths and Facts About Static Application Security Testing Tools: An Action Research at Telenor Digital". International Conference on Agile Software Development. (Springer): 86–103. 
  5. ^ "Data Breaches | Privacy Rights Clearinghouse". privacyrights.org.