SAST与WAF:我应该选择什么？

Question

考虑到我已经部署了一个WAF，通过购买一个SAST工具来扫描工程师的代码以找出安全漏洞，我能得到什么好处呢？

这是否也适用于SCA工具，它们可以在使用易受攻击/恶意依赖或库的情况下发出警报？WAFs也能保护它吗？

Answer 1

WAF (Web应用程序防火墙)旨在保护已经部署的应用程序，而不依赖于底层应用程序。

SAST ()旨在扫描代码，并根据代码查找已知的漏洞。

动态应用程序安全测试()旨在扫描已经部署的应用程序，并根据实际运行的实例查找已知的漏洞。

SCA ()是用来分析已知漏洞的第三方依赖关系。

别把它们混在一起，没有WAF对SAST/DAST。WAF意味着与应用程序无关，您可能有一个易受攻击的应用程序，但是由于您前面有一个WAF，所以您仍然受到保护。

一个理想的开发环境将涉及所有提到的工具，尽管这里可能会有一个可能的争论是DAST，但这是不可能的。

Answer 2

SAST有以下几个优点：

• 可以快速部署
• 几乎不需要任何维护
• 补救可以做得更快
• 将发布后修补程序和安全更新的需求降到最低限度。
• 有更好的整体RoI
• 还可用于扫描嵌入式设备上的实时系统、移动应用程序和软件。
• 假阳性不会影响你

所以，如果你可以去SAST，你当然应该这么做。