对于几乎每个市场中的公司而言，DevOps是一种快速发展的实践。随着过去十年中网络攻击的涌入，安全性在SDLC中慢慢向前蔓延 到我们现在在开发者圈子中听到DevSecOps一词的 程度。

为了保持整洁并帮助开发人员管理额外的安全责任，静态和动态应用程序安全测试（SAST和DAST）的工具已经进入了竞争阶段。在这篇文章中，我们将解释SAST和DAST是什么，它们如何适应开发人员的工作流程，以及何时应该使用它们。

什么是SAST和DAST？

这些是成功的DevSecOps的关键工具。每个都运行一组自动化测试，并在软件开发生命周期的开始时引入安全性。

静态应用安全测试

SAST 可用于分析已知漏洞的源代码。它也是一种白盒测试。测试将在部署代码之前运行，确保开发人员在开发阶段收到修复警报。SAST可以帮助修复代码在类中具有潜在危险属性的情况或可能导致意外代码执行的不安全代码。

在GitLab中，在代码合并到目标分支之前，SAST将在每次代码提交后自动生成修复和未解决漏洞的摘要。允许SAST报告位于开发人员工作界面内的工具可以在开发阶段轻松修复并简化测试程序。

动态应用安全测试

DAST是一种黑盒测试，可分析正在运行的Web应用程序或已知的运行时漏洞。GitLab的DAST工具在质量检查期间对评论应用程序运行实时攻击，这意味着开发人员可以更早，更快地迭代新应用和更新。

与SAST一样，DAST应该自动运行，这样开发人员就不必采取措施来启动测试。在其他情况下，DAST还可用于持续监视实时Web应用程序，以解决跨站点脚本或破坏的身份验证缺陷等问题。测试结果应该告知开发人员潜在的漏洞，并作为持续更新的催化剂。

早期测试并经常使用SAST和DAST

静态和动态应用程序安全性测试是保护代码安全的两个有用工具，但它们并不依赖它们来满足您的所有安全需求。进行手动代码审查，测试高级行为和功能，进行数据库扫描以及确保整个团队以安全第一的思维模式运行仍然很重要。