Skip to content
Latchkey

DAST scan とは何か?

DAST scan、すなわち動的アプリケーションセキュリティテストは、デプロイされ稼働しているアプリケーションに対して攻撃者のようにリクエストを送り、応答を観察します。ソースコードにアクセスせず、インジェクションや設定ミスのように実行時にのみ現れる問題を見つけます。ライブなシステムをテストすることで静的解析を補完します。

なぜ重要か

一部の脆弱性は稼働中のアプリの振る舞いにのみ存在し、ソースレベルのスキャナーには見えません。pipeline 内の DAST scan は、リリース前にデプロイされたテストインスタンスに対してそれらを捕捉します。トレードオフは、稼働中のターゲットが必要で、静的チェックより遅くなりうることです。

関連ガイド