SAST vs WAF:何を選択すればよいですか?
WAFを既に展開しているという事実を考えると、エンジニアのコードをスキャンしてセキュリティ上の欠陥がないかどうかを調べるSASTツールを購入することでどのようなメリットがありますか?
これは、脆弱性/悪意のある依存関係またはライブラリを使用した場合に警告できるSCAツールにも適用されますか? WAFもそれから保護できますか?
WAF(Webアプリケーションファイアウォール)は、基盤となるアプリケーションとは関係なく既にデプロイされているアプリケーションを保護するを意味します。
SAST(静的アプリケーションセキュリティテスト)は、コードをスキャンして既知の脆弱性を検出することを目的としていますコードに基づいて。
DAST(Dynamic Application Security Testing)は、すでにデプロイされているアプリケーションをスキャンして、既知の脆弱性を検出することを目的としていますライブ実行中のインスタンスに基づいて。
SCA(ソフトウェア構成分析)は、既知の脆弱性に対してサードパーティの依存関係を分析を意味します。
それらを混同しないでください。WAF対SAST/DASTはありません。 WAFはアプリケーションに依存しないことを意図しているため、潜在的に脆弱なアプリケーションがある可能性がありますが、その前にWAFがあるため、依然として保護されています。
理想的なdevops環境には、言及されているすべてのツールが含まれますが、DASTとSASTの可能性があるかもしれませんが、これは問題の範囲外です。
[〜#〜] sast [〜#〜]にはいくつかの利点があります:
迅速に展開できます
メンテナンスがほとんど不要
修正はより速く行うことができます
リリース後のパッチとセキュリティ更新の必要性を最小限に抑える
全体的なRoIが優れている
組み込みデバイスに存在するリアルタイムシステム、モバイルアプリケーション、ソフトウェアのスキャンにも使用できます。
誤検知はあなたに影響を与えません
したがって、SASTを実行できる場合は、必ず実行する必要があります。