의미없는 블로그

보호되어 있는 글입니다.

동적진단 / 정적진단 동적은 실제 패킷 레벨에서 exploit 가능성을 찾아내는 것정적은 소스코드 레벨에서 취약점을 찾아내는 것 실제 발현 가능한 취약점만 찾으면 되지 왜 정적 진단 해야하냐?  약간 관점이 다르다정적진단은 코드상의 Best Practice 를 찾아서이걸로 회사의 거버넌스를 만들어 가는데 초점을 둔다그래서 점진적으로 회사의 자산(소스코드)을 안정화 해가는 느낌? 글고 동적은 서비스마다 보통 2~3일, 사이즈 큰거는 1~2주도 걸리자나근데 sast 는 매일 돌릴 수 있으니까아니면 신규 소스 배포될 때마다 돌리던지빠르고 대규모로 사용 가능하다는것이 장점이다 (sast 안쓰고 직접 소스코드 진단하면 빠르진 않겠지..그래도 점진적으로 소스코드를 안정화 해갈 수 있다는점에서동적진단과 차이가 있다고..