Sto lavorando per la società che ha scritto il case study Quotium ( link ) ma cercherò di essere obiettivo nella mia risposta!
Il punto non è quello di trovare vulnerabilità, ma di essere in grado di far riparare rapidamente gli sviluppatori quelli che rappresentano un rischio reale per la tua azienda e in particolare i tuoi dati (ambito principale degli hacker).
Perché?
Quando stai sviluppando in un ambiente Agile con cicli di rilascio brevi. Non è possibile interrompere il processo di SAST + DAST, analizzare report, eseguire triage di risultati, correggere problemi in funzioni non utilizzate, analizzare codice (talvolta localizzato in terze parti) per individuare la fonte, capire falsi positivi ecc ... Non c'è tempo!
Il problema principale con SAST e DAST è tempo e competenza . Per entrambi, è necessaria l'analisi dell'impatto e l'analisi della correzione del codice. SAST + DAST non è Agile.
SAST e DAST conoscono solo un lato del sistema, non considerano le vulnerabilità in un contesto globale di minacce e in un contesto di dati. IAST fa, poiché tiene traccia dei dati dal front-end al back-end.
Un vero IAST è uno strumento che è stato creato ex novo appositamente per agire dal punto di vista degli hacker al codice.
IAST ti dà la possibilità di essere meglio integrato nel processo di sviluppo.
Ad esempio, si collega lo strumento IAST in cui si trovano i server di build ... da un lato si collegano gli script di test automatici (selenio per ex.) dall'altro lo strumento di tracciamento dei bug. Hai un processo di test di sicurezza automatizzato che viene eseguito di notte.
Al mattino, gli sviluppatori trovano il loro elenco di codici vulnerabili con la correzione da applicare, un video di riproduzione dell'attacco sull'applicazione testata, il percorso del codice vulnerabile sui diversi componenti per essere in grado di applicare patch alle interfacce di terze parti se il codice sorgente non è disponibile.
- Gli sviluppatori si concentrano solo sulle vulnerabilità dimostrate
- I tester hanno una visione chiara dei rischi di vulnerabilità su misura da OWASP Top 10, SANS / CWE, PCI ecc ... per GO / NO GO
Un grande guadagno di tempo nel processo!
Bene, qui non sono obiettivo ma è come funziona:)
Per essere obiettivi:
Ci sono solo 2 strumenti che sono stati creati per essere IAST: Quotium's Seeker and Contrast from Aspect.
Tutti gli altri venditori, hanno provato a unire strumenti separati per lo scopo marketing ma sono DAST + SAST not IAST!
Abbiamo clienti che hanno implementato l'IAST come processo continuo e continuano a disporre di uno strumento SAST per la verifica.
SAST ti aiuta ad avere una pratica di codifica più sicura. IAST ancora trova vulnerabilità dopo SAST, ma IAST non evidenzierà la pratica di codifica non sicura se il codice non viene toccato da un processo vulnerabile.
Quindi potresti fare meglio IAST + SAST di DAST + SAST!