知識センター

SAST(静的アプリケーションセキュリティテスト)
Static Application Security Testing

SAST(静的アプリケーションセキュリティテスト)は、実行していない状態でアプリケーションのソースコード、バイナリ、バイトコードを分析し、モバイルアプリケーションのセキュリティホールを表示するよう設計された一連のテスト方法です。SASTは、ホワイトボックステストとも言われ、コードがコンパイルされる前にアプリケーションをスキャンします。また、SQLインジェクション、バッファオーバーフロー、クロスサイトスクリプティングなどシステム内の重要な脆弱性を検知します。

SASTは、動作可能なアプリケーションやコード実行が不要なため、ソフトウェア開発ライフサイクル(SDLC)の初期段階で行われます。開発者は、開発初期段階で脆弱性を確認し、これがアプリケーションの最終リリースまで残らないよう問題を速やかに解決することができます。SASTツールは、開発者がコードを作成する際にリアルタイムでフィードバックを提供し、コードがSDLCの次の段階に入る前に問題を解決するようサポートします。このツールは、ソースコードまたはバイナリをライン単位でテストし、発見した問題を各種チャートなどで分かり易く表示します。つまり、SAST製品は、ソースコードをスキャンして脆弱性を識別し、レポートを提供します。一部のものは、脆弱性に対するコード修正をサポートすることもあります。