Skip to content
Latchkey

O Que É SAST?

SAST - static application security testing - varre seu código-fonte em busca de vulnerabilidades de segurança sem executá-lo.

SAST é análise estática voltada especificamente para segurança. Ele rastreia como dados não confiáveis fluem pelo seu código e sinaliza padrões que levam a vulnerabilidades - SQL injection, cross-site scripting, secrets fixos no código - cedo, antes de o app ser sequer implantado.

Como o SAST funciona

As ferramentas de SAST fazem parse do seu código e seguem os fluxos de dados de fontes (entrada do usuário) até sinks (uma query de banco de dados, uma resposta HTML). Quando dados contaminados chegam a um sink sensível sem sanitização, ele reporta uma potencial vulnerabilidade com o caminho.

Um pequeno exemplo

Se a entrada do usuário flui para uma query SQL concatenada por string, o SAST reporta uma provável SQL injection e mostra o caminho do parâmetro da requisição até a query - apontando você para a linha exata a parametrizar.

Forças e limites

  • Força: encontra problemas cedo, no código, com localizações no nível de linha.
  • Força: não precisa rodar nem implantar o app.
  • Limite: falsos positivos são comuns - nem todo caminho sinalizado é explorável.

SAST vs DAST vs dependency scanning

O SAST analisa seu próprio código-fonte estaticamente. O DAST testa um app em execução de fora. O dependency scanning verifica bibliotecas de terceiros em busca de CVEs conhecidos. Um pipeline maduro usa os três; eles cobrem lacunas diferentes.

Encaixando no CI

Rode o SAST em pull requests e use como gate novos achados de alta severidade em vez do backlog inteiro. Escanear apenas o diff mantém o processo rápido e foca os revisores nos problemas que a mudança de fato introduziu.

Principais conclusões

  • O SAST varre o código-fonte em busca de falhas de segurança sem executá-lo.
  • Ele rastreia dados contaminados de fontes de entrada até sinks sensíveis.
  • Ele encontra problemas cedo, mas produz falsos positivos que precisam de triagem.

Guias relacionados