SAST 왜 쓰냐

동적진단 / 정적진단

 

동적은 실제 패킷 레벨에서 exploit 가능성을 찾아내는 것

정적은 소스코드 레벨에서 취약점을 찾아내는 것

 

실제 발현 가능한 취약점만 찾으면 되지 왜 정적 진단 해야하냐? 

 

약간 관점이 다르다

정적진단은 코드상의 Best Practice 를 찾아서

이걸로 회사의 거버넌스를 만들어 가는데 초점을 둔다

그래서 점진적으로 회사의 자산(소스코드)을 안정화 해가는 느낌?

 

글고 동적은 서비스마다 보통 2~3일, 사이즈 큰거는 1~2주도 걸리자나

근데 sast 는 매일 돌릴 수 있으니까

아니면 신규 소스 배포될 때마다 돌리던지

빠르고 대규모로 사용 가능하다는것이 장점이다

 

(sast 안쓰고 직접 소스코드 진단하면 빠르진 않겠지..

그래도 점진적으로 소스코드를 안정화 해갈 수 있다는점에서

동적진단과 차이가 있다고 보면 되겠다)

 

sast 단점은

일반적이지 않고 다른 언어를 섞거나 
데이터를 예상하기 어려운 방식으로 가져오거나 하면 (file 열어서 일부 가져오는식으로)

sast 관점에서는 찾을 수 없다

 

sast 쿼리는 일반적으로 데이터를 처리하는 관점으로 짜여있기 때문에
임의적으로 꼬아서 동일한 기능을 만들면 찾기 어렵지

 

그리고 파라미터 변조 같이

시나리오적인 취약점은 또 sast 로 못찾지

이런건 동적으로 찾아야지

 

그래서 sast 로 모든 취약점을 다 커버하려고 하면 안되고

아까 말했듯이 목적이 다르다