動(dòng)態(tài)應(yīng)用程序安全性測(cè)試DAST主要由專業(yè)測(cè)試人員使用，因?yàn)樗枰罅康臅r(shí)間。如何適應(yīng)依賴速度的開發(fā)環(huán)境？是否有任何方法可以“彌合差距”并利用DAST的優(yōu)勢(shì)來確保團(tuán)隊(duì)甚至在現(xiàn)代DevOps環(huán)境中也可以有效地利用它？

DAST（動(dòng)態(tài)應(yīng)用程序安全性測(cè)試）長(zhǎng)期以來一直是安全性測(cè)試技術(shù)，但仍由擁有時(shí)間和專業(yè)知識(shí)的專業(yè)測(cè)試人員掌握。借助DAST，團(tuán)隊(duì)可以使用與黑客測(cè)試應(yīng)用程序相同的技術(shù)來檢測(cè)漏洞，從而使他們基本上可以坐在黑客的位置。DAST做得很透徹，但需要時(shí)間-在現(xiàn)代發(fā)行版環(huán)境中，應(yīng)用程序及其組件不斷更新，因此可能并不總是可用。

是否有任何方法可以“彌合差距”并利用DAST的優(yōu)勢(shì)來確保團(tuán)隊(duì)甚至在現(xiàn)代DevOps環(huán)境中也可以有效地利用它？實(shí)際上，采用DAST的新方法已經(jīng)產(chǎn)生了可顯著加快測(cè)試過程的系統(tǒng)，從而為真正的動(dòng)態(tài)測(cè)試提供了便利和速度。

DAST是一種黑盒測(cè)試技術(shù)，可以自動(dòng)/模擬筆測(cè)試器。與SAST（靜態(tài)應(yīng)用程序安全性測(cè)試）不同，它不需要訪問源代碼。它通過HTTP請(qǐng)求并通過檢查應(yīng)用程序的客戶端呈現(xiàn)來測(cè)試應(yīng)用程序，就像筆測(cè)試器一樣。

掃描結(jié)果令人信服。DAST掃描可提供高保真結(jié)果，包括可以利用發(fā)現(xiàn)的漏洞的實(shí)際流量。如果報(bào)告了一個(gè)問題并且很可能是真實(shí)的，則應(yīng)盡快予以糾正。這種徹底性是有代價(jià)的。DAST可能需要很長(zhǎng)時(shí)間才能完成其掃描，因此在復(fù)雜的應(yīng)用程序上運(yùn)行需要數(shù)小時(shí)甚至數(shù)天。通過自動(dòng)化實(shí)現(xiàn)縮短發(fā)布周期，越來越難找到時(shí)間在任何連續(xù)的基礎(chǔ)上運(yùn)行完整的DAST掃描。提供時(shí)間來同時(shí)運(yùn)行DAST掃描的長(zhǎng)發(fā)布周期時(shí)代已經(jīng)結(jié)束。新的規(guī)范是每周，每天甚至每小時(shí)進(jìn)行連續(xù)不斷的發(fā)布。

那么DAST如何適應(yīng)這種開發(fā)環(huán)境？通過使其徹底適應(yīng)速度至關(guān)重要的環(huán)境。通過將掃描過程分解為可以分別檢查應(yīng)用程序各部分的組件，開發(fā)人員可以使用DAST在開發(fā)過程中測(cè)試安全問題，而不會(huì)浪費(fèi)時(shí)間。開發(fā)完成后，全面，全面的DAST掃描將確保從安全角度出發(fā)準(zhǔn)備產(chǎn)品。

一種方法是設(shè)計(jì)僅檢查應(yīng)用程序更改的DAST掃描系統(tǒng)。到目前為止，掃描是對(duì)整個(gè)應(yīng)用程序進(jìn)行的，但是技術(shù)的新發(fā)展使DAST掃描儀可以自動(dòng)識(shí)別相對(duì)于上次掃描更改的應(yīng)用程序部分，并且僅掃描這些部分。這稱為“增量掃描”，可以大大縮短掃描時(shí)間。

還重新部署了DAST系統(tǒng)以測(cè)試特定問題。通常，DAST掃描會(huì)進(jìn)行全面的測(cè)試，涵蓋黑客可以使用的所有可能技術(shù)。為了使事情更有效率，系統(tǒng)現(xiàn)在的目標(biāo)是僅發(fā)現(xiàn)黑客最有可能利用的高價(jià)值問題。

DAST的另一項(xiàng)開發(fā)可以使系統(tǒng)適應(yīng)現(xiàn)代開發(fā)環(huán)境，因此需要擴(kuò)展正在測(cè)試的應(yīng)用程序。為了正確測(cè)試，DAST引擎需要對(duì)應(yīng)用程序發(fā)出大量惡意請(qǐng)求，但一次不能發(fā)出太多惡意請(qǐng)求，以免造成DOS（拒絕服務(wù)）情況。這是DAST被認(rèn)為運(yùn)行緩慢的另一個(gè)原因，但是諸如Kubernetes之類的使應(yīng)用能夠快速擴(kuò)展的新技術(shù)可能會(huì)打開新的選項(xiàng)來更快地運(yùn)行DAST掃描。

DAST是安全測(cè)試中的重要工具，由于其性質(zhì)，某些特定功能只能使用。放棄它對(duì)那些將錯(cuò)過僅DAST可以發(fā)現(xiàn)的漏洞，并且錯(cuò)過他們可以用來調(diào)試和修復(fù)代碼的實(shí)際示例漏洞的團(tuán)隊(duì)將是極大的傷害。借助新的創(chuàng)新方法，DAST可以完全適合現(xiàn)代開發(fā)環(huán)境，并確保我們所依賴的軟件和服務(wù)安全可靠。