DAST可以在当今的开发环境中实现吗？

动态应用程序安全性测试DAST主要由专业测试人员使用，因为它需要大量的时间。如何适应依赖速度的开发环境？是否有任何方法可以“弥合差距”并利用DAST的优势来确保团队甚至在现代DevOps环境中也可以有效地利用它？

DAST（动态应用程序安全性测试）长期以来一直是安全性测试技术，但仍由拥有时间和专业知识的专业测试人员掌握。借助DAST，团队可以使用与黑客测试应用程序相同的技术来检测漏洞，从而使他们基本上可以坐在黑客的位置。DAST做得很透彻，但需要时间-在现代发行版环境中，应用程序及其组件不断更新，因此可能并不总是可用。

是否有任何方法可以“弥合差距”并利用DAST的优势来确保团队甚至在现代DevOps环境中也可以有效地利用它？实际上，采用DAST的新方法已经产生了可显着加快测试过程的系统，从而为真正的动态测试提供了便利和速度。

DAST是一种黑盒测试技术，可以自动/模拟笔测试器。与SAST（静态应用程序安全性测试）不同，它不需要访问源代码。它通过HTTP请求并通过检查应用程序的客户端呈现来测试应用程序，就像笔测试器一样。

扫描结果令人信服。DAST扫描可提供高保真结果，包括可以利用发现的漏洞的实际流量。如果报告了一个问题并且很可能是真实的，则应尽快予以纠正。这种彻底性是有代价的。DAST可能需要很长时间才能完成其扫描，因此在复杂的应用程序上运行需要数小时甚至数天。通过自动化实现缩短发布周期，越来越难找到时间在任何连续的基础上运行完整的DAST扫描。提供时间来同时运行DAST扫描的长发布周期时代已经结束。新的规范是每周，每天甚至每小时进行连续不断的发布。

那么DAST如何适应这种开发环境？通过使其彻底适应速度至关重要的环境。通过将扫描过程分解为可以分别检查应用程序各部分的组件，开发人员可以使用DAST在开发过程中测试安全问题，而不会浪费时间。开发完成后，全面，全面的DAST扫描将确保从安全角度出发准备产品。

一种方法是设计仅检查应用程序更改的DAST扫描系统。到目前为止，扫描是对整个应用程序进行的，但是技术的新发展使DAST扫描仪可以自动识别相对于上次扫描更改的应用程序部分，并且仅扫描这些部分。这称为“增量扫描”，可以大大缩短扫描时间。

还重新部署了DAST系统以测试特定问题。通常，DAST扫描会进行全面的测试，涵盖黑客可以使用的所有可能技术。为了使事情更有效率，系统现在的目标是仅发现黑客最有可能利用的高价值问题。

DAST的另一项开发可以使系统适应现代开发环境，因此需要扩展正在测试的应用程序。为了正确测试，DAST引擎需要对应用程序发出大量恶意请求，但一次不能发出太多恶意请求，以免造成DOS（拒绝服务）情况。这是DAST被认为运行缓慢的另一个原因，但是诸如Kubernetes之类的使应用能够快速扩展的新技术可能会打开新的选项来更快地运行DAST扫描。

DAST是安全测试中的重要工具，由于其性质，某些特定功能只能使用。放弃它对那些将错过仅DAST可以发现的漏洞，并且错过他们可以用来调试和修复代码的实际示例漏洞的团队将是极大的伤害。借助新的创新方法，DAST可以完全适合现代开发环境，并确保我们所依赖的软件和服务安全可靠。