Без перебільшення: серед усіх інструментів AppSec саме SAST має одну з найсуперечливіших репутацій. І даремно – адже при грамотному впровадженні статичне тестування безпеки додатків (SAST) може приносити відчутну користь.
Принцип роботи SAST полягає у використанні заданих правил для виявлення потенційних вразливостей у коді. Інструмент надсилає попередження розробникам про проблеми, які теоретично можуть становити ризик для безпеки. Фактично, SAST – це засіб перевірки якості коду, орієнтований на безпеку.
Однак з погляду розробника ці інструменти часто виглядають як джерело надмірної кількості сповіщень, більшість з яких не мають реального значення. Тож не дивно, що багато таких попереджень або оскаржуються, або просто ігноруються.
Хоча SAST-інструменти не завжди є найдорожчими серед AppSec-рішень, їх придбання все ж вимагає обґрунтування інвестицій (повернення вкладень, реальне підвищення рівня безпеки). Щоб досягти максимального ефекту, потрібно не просто впровадити SAST, а зробити його частиною продуктивної та ефективної програми безпеки.
У цьому посібнику зібрані практичні поради від досвідчених лідерів галузі – тих, хто добре розуміє, як будувати AppSec-програми, в яких і команди безпеки, і розробники працюють злагоджено, відчувають взаємну повагу і розділяють відповідальність за безпеку продуктів, якими вони пишаються.
