认识达内从这里开始

随着互联网的不断发展，越来越多的人都在学习计算机编程开发等互联网技术，而本文我们就通过案例分析来简单了解一下，软件测试安全的重要性与方法分享。

安全测试的重要性

软件测试是软件开发生命周期必不可少的一环，是重要的组成部分。测试有多种形式，按照测试类型，可以分为界面类测试、功能测试、性能测试、文档测试等。传统的功能测试和非功能测试能够通过某种形式隐式发现程序中的某些漏洞，如密码格式验证，但是这些测试并不是专门寻找安全缺陷的，也不够全面，无法保证应用程序或服务已经通过了全面的安全漏洞测试。安全测试可以测试软件在遭到没有授权的内部或者外部用户的攻击/恶意破坏时如何进行处理，能够保证软件和数据的安全。

安全测试是DevSecOps实践的关键部分，软件程序经过各种方法的测试以保证质量。安全测试不仅应涉及软件程序，还应关注端到端管道、实时生产系统、软件基础设施、数据库以及中间件，以降低任一环节的安全攻击风险。安全测试是一个专业领域，拥有自己的一套工具和实践，旨在暴露这些漏洞。

应用程序安全测试AST

在前面的攻击对象统计数据中可见，应用程序仍然是主要的攻击对象，应用程序是客户和核心业务功能之间的网关。客户使用应用程序访问企业提供的服务或购买产品，因此它为企业及其客户提供了大的安全风险。同时随着全球疫情的存在，远程办公形式的兴起，使得企业对应用程序的依赖更强，所以应用程序的安全至关重要，在安全测试中，应用程序安全测试也是当其冲，目前业界常用的技术主要分为静态应用程序安全测试SAST、动态应用程序安全测试DAST、交互式应用程序安全测试IAST三类。

静态应用程序安全测试SAST

静态应用程序安全测试(StaticApplicationSecurityTesting)，是通过检查应用程序的源代码来发现程序代码存在安全漏洞的测试方法。有些工具也会依赖于编译过程甚至是二进制文件，通过一些抽象语法树、控制流分析及污点追踪等技术手段来提升检测覆盖度和准确度。SAST是一种白盒测试方式，常见的工具有Coverity、Checkmarx、FindBugs、CodeQL和ShiftLeftinspect。

SAST工具有出色的代码覆盖率，能够发现代码中更多更全的漏洞类型，使用SAST可以低成本防御隐藏在源代码中的一些常见安全缺陷，公开的漏洞，如OWASPTOP10。同时问题点可以定位到具体代码行便于修复。但是使用SAST，难逃误报率这个问题，误报会降低工具的实用性，工程师可能需要花费更多的时间来清除误报而不是漏洞，好在大多数SAST工具都为工程师提供了配置扫描仪以减少报告的误报数量的方法。

动态应用程序安全测试DAST

动态应用程序安全测试(DynamicApplicationSecurityTesting)，是在不需要系统源码的情况下，通过模拟攻击者的行为构造特定的输入给到应用程序，分析应用程序的行为和反应，从而确定该应用是否存在某些类型的安全漏洞。常见的工具如针对Web应用商业和开源的AWVS，还有一些针对电脑或终端AppScan等。

DAST是从攻击者视角出发，复制了真实的攻击，如果成功，证明了应用程序中漏洞的可利用性，因此误报的数量远低于SAST，准确性非常高，工程师可以专注于修复真正的漏洞，而不是花时间验证它们。DAST是非常可靠的漏洞检测技术，可以发现大量的真实安全漏洞。DAST采用攻击特征库来做漏洞发现与验证，能发现大部分的高风险问题，因此是业界Web安全测试使用非常普遍的一种安全测试方案。

DAST是一种黑盒测试形式，在DAST测试过程中，主要以功能为主，不需要具备编程能力，不用了解应用程序的内部逻辑结构，模糊测试是DAST测试中常用的一种方式，通过故意向应用程序引入不正确格式或随机数据诱发程序故障。模糊测试策略的制定，以应用程序的预期用途，以及应用程序的功能和设计规范为基础。

DAST除了可以扫描应用程序本身之外，还可以扫描发现三方开源组件、三方框架的漏洞。许多DAST工具可以跨多种语言和框架工作，与SAST工具相比，可以提供更大的应用程序覆盖范围。但这需要付出代价：当发现漏洞时，通常很难准确指出在源代码中应用修复的位置。

配置DAST需要高级安全知识，才能根据目标应用程序的潜在攻击面正确设置测试。工程师必须能够配置动态测试工具以获得准确的结果。他们还需要在运行时将其集成到应用程序中，它更适合CI/CD流水线，在其中可以执行运行时分析。StuartGunter高度评价DAST作为自动化测试工具。如果使用得当，其低误报输出和接近手动渗透测试的动作可以产生出色的结果。

【免责声明】：本内容转载于网络，转载目的在于传递信息。文章内容为作者个人意见，本平台对文中陈述、观点保持中立，不对所包含内容的准确性、可靠性与完整性提供形式地保证。请读者仅作参考。更多内容请加danei456学习了解。欢迎关注“达内在线”参与分销，赚更多好礼。