Static Application Security Testing

リリース前に実施されるアプリケーションセキュリティテストには、SASTとDAST、およびこれら2つを組み合わせたInteractive Application Security Testing（IAST）が含まれる^[5]。

静的解析ツールは、プログラムのテキストを構文的に検査する。これらはソースコード内の固定されたパターンやルールを探す。理論的には、コンパイルされた形式のソフトウェアを検査することも可能である。この技術は、コンパイルされたコンポーネントとソースコードコンポーネント間のマッピングを行い、問題を特定するためにコードの計装（インストルメンテーション）に依存している。静的解析は、コードレビューや、セキュリティを含むさまざまな目的のためのコードの監査として手動で行うこともできるが、それには時間がかかる^[6]。

SASTツールの精度は、解析の範囲と脆弱性を特定するために使用される特定の技術によって決定される。解析のレベルには以下が含まれる。

• 関数レベル: 命令のシーケンス
• ファイルまたはクラスレベル: オブジェクト生成のための拡張可能なプログラムコードテンプレート
• アプリケーションレベル: 相互作用するプログラムまたはプログラムのグループ

解析の範囲によって、文脈情報を使用して脆弱性を検出する正確さと能力が決まる^[7] 。SASTツールは、DASTツールとは異なり、開発者にリアルタイムのフィードバックを提供し、コードを次の段階に進める前に欠陥を修正するのを助ける。

関数レベルでは、一般的な技術として、関数内のデータの流れを制御するための抽象構文木の構築がある^[8]。

90年代後半以降、ビジネス上の課題に適応する必要性から、開発チームのプロセスと組織によって強化されたコンポーネント化^[9]により、ソフトウェア開発は変化してきた^[10]。アプリケーションまたはアプリケーション群のすべてのコンポーネント間のデータの流れを追跡することで、サニタイズのための専用プロシージャへの必須呼び出しの検証や、特定のコード部分でデータをテイント（汚染）させるための適切なアクションが取られているかの検証が可能になる^[11][12]。

Webアプリケーションの台頭に伴い、それらのテストが必要となった。Verizon Data Breachは2016年に、全データ侵害の40%がWebアプリケーションの脆弱性を利用していると報告した^[13]。外部的なセキュリティ検証と内部脅威への注目の両方が高まっている。Clearswift Insider Threat Index（CITI）は、2015年の調査で回答者の92%が過去12ヶ月間にITまたはセキュリティインシデントを経験し、これらの侵害の74%が内部関係者によるものであったと報告している^[14][15]。Lee Hadlingtonは内部脅威を、悪意あるもの、偶発的なもの、意図しないものの3つのカテゴリに分類した。モバイルアプリケーションの爆発的な成長は、悪意のあるコード開発を減らすために、開発プロセスの早い段階でアプリケーションを保護することを意味する^[16]。

ソフトウェア開発ライフサイクルにおいて脆弱性が早期に修正されるほど、修正コストは安くなる。開発段階での修正コストはテスト段階よりも10倍低く、本番環境よりも100倍低い^[17]。SASTツールは、コードレベルまたはアプリケーションレベルで自動的に実行され、対話を必要としない。CI/CDのコンテキストに統合された場合、SASTツールは重大な脆弱性が特定された場合に統合プロセスを自動的に停止するために使用できる^[18]。

他の種類のテストに対するもう一つの利点は、DASTツールが実行をカバーするためアプリケーションの一部^[5]や設定ファイル内の安全でない設定を見逃す可能性があるのに対し、SASTツールはソースコード全体をスキャンすることである。

SASTツールは、品質テストやアーキテクチャテストなどの拡張機能を提供できる。ソフトウェアの品質とセキュリティには直接的な相関関係がある。品質の悪いソフトウェアは、セキュリティも不十分なソフトウェアである^[19]。