10.3 静态应用安全测试 (SAST)

文档摘要

10.3 静态应用安全测试 (SAST) 10.3 静态应用安全测试 (SAST) 10.3.1 定义静态应用安全测试 (Static Application Security Testing, SAST) 是一种白盒安全测试方法，它通过分析应用程序的源代码、字节码或二进制代码来识别潜在的安全漏洞，而无需实际运行应用程序。 SAST 旨在在软件开发生命周期 (SDLC) 的早期阶段发现问题，从而降低修复成本和风险。 10.3.2 原理 SAST 工具通常使用以下技术来分析代码：模式匹配 (Pattern Matching): 搜索代码中已知的安全漏洞模式，例如 SQL 注入、跨站脚本 (XSS) 和缓冲区溢出。