🛡️ النوعين الرئيسيين من تقنيات اختبار الأمان المستخدمة في تطوير البرامج، “SAST & DAST” 🧑💻 ..
الSAST (اختبار أمان التطبيق الثابت) و ال DAST (اختبار أمان التطبيق الديناميكي) هما نوعان مختلفان من منهجيات اختبار البرامج المستخدمة لتحديد نقاط الضعف الأمنية في تطبيقات البرامج، ويكمن الاختلاف الرئيسي بين SAST و DAST في النهج المستخدم لاختبار التطبيق.
1️⃣ ما هو “SAST” ؟
ال (Static Application Security Testing) يحلل اختبار أمان التطبيق الثابت كود مصدر البرنامج لتحديد الثغرات الأمنية، تتضمن هذه الثغرات الأمنية SQLi وهجمات XML (XXE) ويعتبر SAST هو اختبار White box يقوم بمسح تطبيق البرنامج من الداخل إلى الخارج لإكتشاف الثغرات الأمنية في الكود قبل التنفيذ و خروج التطبيق الي المستخدم، توجه منهجية SAST المطورين لبدء اختبار تطبيقاتهم في مراحل التطوير المبكرة، يكتشف هذا الأسلوب عيوب أمان كود المصدر للتطبيق مبكراً ويتجنب ترك مشكلات الأمان لمراحل التطوير اللاحقة، وهذا يقلل من وقت التطوير ويعزز الأمن العام للبرنامج.
📍ادوات اختبار SAST ؟
من اشهر الادوات المستخدمه Codacy و SonarQube يوجد الكثير من الادوات لل SAST و عليك استخدام الاداة المناسبه للغه البرمجه التي تم بناء التطبيق بها.
2️⃣ ما هو “DAST” ؟
ال (Dynamic Application Security Testing) اختبار امان التطبيق الديناميكي يقوم بتقييم أمان التطبيق في مرحلة التشغيل، يحاكي هذا النوع من الاختبار كمخترق لاتختراق التطبيق عن بعد حيث يقوم المخترق بفحص التطبيق عن الثغرات الرائده و تبليغ عنها ويعتبر DAST هو اختبار Black Box و الذي يحاكي منظور المخترق الخارجي كمستخدم عادي بدون خلفيه عن التطبيق.
📍ما هي الادوات المستخدمه في ال DAST ؟
يوجد الكثير من الادوات التي تستخدم في هذا الاختبار مثل OWASP ZAP و Acunetix و Burpsuite pro و غيرهم من الادوات المميزه في تحديد الثغرات المختلفه للتطبيق في مرحله التشغيل.
💥 ايهم تستخدم؟
لتحقيق اقصى درجات الأمان للتطبيق الخاص بك ضع في اعتبارك دمج تقنيات ال SAST و DAST كجزء من خطه CD/CI Pipelines للتطبيق.
