Достаточно ли постоянно проверять анализатором исходного кода (SAST) приложения и пытаться устранять найденные уязвимости? Конечно нет, ведь существует еще множество полезных, дорогих и не очень инструментов для анализа защищенности: Micro Focus® Fortify WebInspect это инструмент для динамического тестирования WEB приложений - dynamic application security testing (DAST). Вот как он вписывается в общую картину обеспечения безопасности приложения.
Как это работает? Сканер тестирует развернутое в тестовой или продакшен среде (лучше, конечно, в тестовой) приложение как BlackBox и симулирует все известные сканеру атаки: SQL Injection, XSS итд ....
В результате сканирования он выявляет уязвимости которые реально можно проэксплуатировать. Выявленные уязвимости и ход их устранения может отслеживаться в Software Security Center наряду с уязвимостями выявленными в ходе статического анализа.
Таким образом Software Security Center становится единым местом управления безопасностью приложения, с учетом результатов SAST и DAST.
Основные функции:
- Поддержка последних web technologies HTML5, JSON, AJAX, JavaScript,...
- Возможность сканировать Single Page Applications (SAP)
- Возможность авторизовываться в приложениях с использованием различных методов и проводить сканирование от лица пользователя
- Легко встраивается в процессы DevOps и в цикл CI/CD при помощи API
- Данные о результатах сканирования собираются в едином центре управления безопасностью приложения Software Security Center
Вот тут подробнее: https://www.microfocus.com/media/data-sheet/webinspect_automated_dynamic_application_security_testing_ds.pdf
https://www.microfocus.com/en-us/products/webinspect-dynamic-analysis-dast/overview
Что внедрять в первую очередь SAST или DAST - каждый решает сам. Оба метода дополняют друг друга и могут работать как вместе, так и раздельно.
PS Есть еще RAST, но он нигде, практически, не работает нормально, очень много ограничений, поэтому про него писть не буду )