SAST e DAST

SAST e DAST sono due tipi di test di sicurezza delle applicazioni utilizzati per rilevare le vulnerabilità. Nel campo dello sviluppo software, garantire la sicurezza delle applicazioni è fondamentale. È qui che entrano in gioco strumenti come il test statico della sicurezza delle applicazioni (SAST) e il test dinamico della sicurezza delle applicazioni (DAST), ognuno dei quali svolge un ruolo ai fini del rilevamento delle vulnerabilità che potrebbero compromettere l'integrità delle applicazioni.

La sinergia tra SAST e DAST fornisce ai team di sviluppo una strategia completa nell'ambito dei test di sicurezza. Mentre il SAST consente di rilevare precocemente le vulnerabilità nel codice, il DAST offre una valutazione pratica di come un'applicazione si comporta sotto attacco una volta divenuta attiva.

Che cos'è il SAST?

Il SAST approfondisce il codice sorgente senza eseguirlo, offrendo un approccio white-box testing. In altre parole, si comporta come un revisore esperto che analizza il codice individuando le aree potenzialmente esposte a violazioni della sicurezza, come le SQL injection o i buffer overflow. Integrando il SAST all'inizio del ciclo di sviluppo, idealmente subito dopo il commit del codice, gli sviluppatori ricevono un feedback immediato su potenziali ticket di sicurezza, riuscendo così a risolverli rapidamente.

Questo approccio proattivo alla sicurezza permette di affrontare le vulnerabilità molto prima dell'esecuzione del deployment del codice, risparmiare tempo e risorse e promuovere al contempo una cultura della consapevolezza sul tema della sicurezza fra gli sviluppatori.

Che cos'è il DAST?

Al contrario del SAST, il DAST adotta una prospettiva esterna, eseguendo test black-box sulle applicazioni web in esecuzione per scoprire le vulnerabilità che potrebbero essere sfruttate da utenti malintenzionati. Il DAST simula attacchi informatici all'applicazione, eseguendo l'analisi di ticket come il cross-site scripting o le vulnerabilità Broken Authentication.

Il DAST propone una visione d'insieme dell'applicazione dal punto di vista di un hacker, evidenziando i punti deboli della sicurezza nell'ambiente implementato e offrendo approfondimenti su come rafforzare le difese contro eventuali attacchi nel mondo reale.

L'utilizzo combinato di entrambi gli strumenti garantisce una solida security posture, in quanto permette di individuare diversi tipi di vulnerabilità nelle varie fasi del ciclo di sviluppo. Per i team impegnati nella distribuzione di software sicuro, riuscire a bilanciare l'intervento precoce del SAST con i test realistici del DAST permette di adottare un approccio olistico alla sicurezza delle applicazioni.

Il SAST è uno strumento importante che permette di rilevare le vulnerabilità della sicurezza all'inizio del ciclo di sviluppo, quando il codice è ancora in fase di scrittura, e molto prima dell'esecuzione del deployment. In generale, le vulnerabilità rilevate nelle prime fasi del processo di sviluppo sono più facili da risolvere e comportano un minore dispendio di risorse. Questo meccanismo di rilevamento precoce non solo mitiga il rischio di potenziali violazioni della sicurezza, ma è anche in linea con le best practice che disciplinano lo sviluppo di applicazioni sicure in ambienti di produzione frenetici come quelli odierni.

Assegnando la priorità alla sicurezza fin dall'inizio, i team possono ridurre significativamente la probabilità che si verifichino incidenti di sicurezza pericolosi ed economicamente gravosi dopo l'esecuzione del deployment. In questo modo, gli utenti avranno maggiore fiducia nell'applicazione e nell'organizzazione che l'ha sviluppata. Il SAST non solo protegge l'applicazione, ma rafforza anche la reputazione e l'affidabilità del team di sviluppo decretandone di fatto l'impegno a perseguire l'eccellenza nel settore della programmazione software.

Il DAST aiuta a individuare quei ticket di sicurezza e vulnerabilità nelle applicazioni che sarebbe difficile rilevare con metodologie di test tradizionali che si concentrano sul codice e sulla tecnologia intrinseca di un'applicazione. Il DAST simula attacchi informatici per individuare le falle nella sicurezza in modo da poterle risolvere prima che vengano sfruttate da utenti malintenzionati.

Inoltre, DAST è in grado di testare le applicazioni nel loro stato di esecuzione, offrendo approfondimenti preziosi sui loro comportamenti e sulle vulnerabilità specifiche dell'ambiente, elementi che l'analisi statica rischierebbe di trascurare. Tra questi vi sono le configurazioni errate, i difetti di autenticazione e gestione delle sessioni e infine i ticket operativi, che si manifestano solo quando l'applicazione è attiva.

SAST e DAST si diffondono sempre di più fra i team DevOps.

Stando al sondaggio globale su DevSecOps del 2022 realizzato da GitLab, il 53% degli sviluppatori esegue analisi SAST (rispetto a una percentuale inferiore al 40% registrata nel 2021), mentre il 55% si affida a DAST (rispetto a una quota del 44% rilevata nel 2021).

Fondamentalmente, SAST e DAST rilevano diversi tipi di vulnerabilità e ticket di sicurezza. Ecco alcuni dei problemi di sicurezza che SAST e DAST permettono di individuare.

SAST può rilevare:

• SQL injection
• Buffer overflow
• Vulnerabilità XML External Entity (XXE)
• Vulnerabilità di sicurezza di livello critico, identificate in standard di settore come OWASP Top 10 e SANS/CWE Top 25

DAST può rilevare:

• Cross-site scripting (XXS)
• SQL injection
• Vulnerabilità Broken Authentication
• Problemi di crittografia
• Errate configurazioni del server di applicazione o dei database
• Ipotesi errate sui controlli di sicurezza che potrebbero non essere visibili dal codice sorgente

Ecco cosa fare per ottenere tutti i vantaggi di SAST e DAST:

• Crea/integra SAST e DAST nel flusso di lavoro del tuo team e nella pipeline CI/CD.
• Esegui automaticamente SAST e DAST in modo che il tuo team non debba avviare i test manualmente.
• Verifica che l'esecuzione di SAST e DAST non possa essere né scavalcata né omessa accidentalmente.
• Applica delle restrizioni per impedire l'esecuzione del merge di codice con vulnerabilità rilevate senza le opportune approvazioni.
• Verifica che gli strumenti di analisi SAST e DAST da te utilizzati vengano aggiornati regolarmente in modo da trarre vantaggio dalle definizioni delle ultime vulnerabilità.
• Utilizza SAST e DAST in modo che tutti i membri del personale, dagli sviluppatori ai professionisti della sicurezza fino ai team operativi, abbiano a disposizione i risultati delle analisi e possano collaborare agevolmente per risolvere i problemi di sicurezza.

Ti consigliamo di utilizzarli entrambi per aiutare il tuo team a distribuire software sicuro e a individuare i problemi di sicurezza all'inizio del processo di sviluppo, prima che ti rallentino.
SAST dovrebbe essere eseguito con largo anticipo, idealmente subito dopo l'esecuzione del commit del codice. In questo modo, le vulnerabilità di sicurezza possono essere rilevate e segnalate all'autore del commit quando questi ha appena finito di lavorare al codice.

DAST dovrebbe essere eseguito ogni volta che si apporta una modifica all'applicazione, idealmente quando se ne esegue il deployment in un ambiente di test, in modo da poter rilevare i problemi prima che entrino in produzione. DAST può essere utilizzato anche per monitorare costantemente le applicazioni web in tempo reale, in modo da rilevare problemi quali il cross-site scripting o le vulnerabilità Broken Authentication.

Cosa analizzano

SAST esegue l'analisi del codice sorgente, mentre DAST analizza le applicazioni e le API o i servizi web a cui si collega la tua applicazione, tra cui GraphQL, REST e SOAP.

Quando eseguono l'analisi

SAST viene eseguito all'inizio del ciclo di sviluppo e poco dopo la scrittura del codice mentre DAST in un momento successivo, una volta che un'applicazione è già funzionante in un ambiente di test o direttamente sul codice di produzione.

Differenza tra i tipi di test

SAST è un white-box testing che cerca le vulnerabilità all'interno dell'applicazione e del codice, mentre DAST è un black-box testing che si concentra sulle vulnerabilità che potrebbero consentire a un utente malintenzionato di penetrare nel sistema.

Accesso al codice sorgente

Gli strumenti di SAST eseguono l'analisi del codice sorgente di un'applicazione, mentre quelli di DAST non possono nemmeno accedervi.

Differenza nella dipendenza del linguaggio

Poiché SAST esegue l'analisi del codice sorgente, si tratta di uno strumento specifico per i linguaggi di programmazione e i framework di sviluppo utilizzati, mentre lo strumento SAST utilizzato deve supportare il linguaggio di programmazione in uso, che si tratti di C++, Python, Go, React, Ruby o di altri.

A differenza di SAST, DAST non tiene conto dei linguaggi o dei framework su cui poggia la tua applicazione, in quanto esegue i test dall'esterno proprio come farebbe un utente malintenzionato.

Falsi positivi

SAST tende a produrre un numero maggiore di falsi positivi rispetto a DAST, in quanto si concentra sul codice sorgente e non dispone delle informazioni necessarie per capire se una riga di codice apparentemente problematica venga effettivamente risolta altrove. Vi sono provider DAST come GitLab che sono in grado di individuare alcuni falsi positivi in SAST.

La piattaforma DevSecOps di GitLab può aiutarti a trarre il meglio da SAST e DAST e a migliorare la sicurezza delle tue applicazioni senza sacrificare la velocità di distribuzione.

Scopri di più:

• La nostra documentazione
• La nostra pagina delle soluzioni dedicata a DevSecOps, sicurezza e governance