Você sabe a diferença entre sast Dash e iash ao menos sabe o que significa isso para cybersegurança não Então vem [Música] comigo Olá seja bem-vindo ao guia anonimo um canal que fala sobre segurança da informação e hacking eu sou Afonso da Silva e antes da gente falar sobre essas três siglas eu gostaria de te convidar para dar uma olhada no fundamentos pgi anonima.com que é a lista de espera pro nosso novo treinamento que vai ser lançado em novembro e tem como objetivo passar para você algumas bases do hacking então dá uma olhada lá basicamente dast
sast e yast são tipos de verificação de segurança em aplicações e eles servem para ajudar a descartar a possibilidade de um código possuir algum erro ou bug defeito falha de segurança enfim de tempos em tempos a equipe de tecnologia das em e de desenvolvimento Precisam fazer verificações de segurança para saber se tá tudo bem com o seu produto E para isso eles podem fazer inúmeras verificações de segurança incluindo essas três verificações que são as mais conhecidas dentre esse modelo de análise vamos começar então pelo sast que é o teste de segurança estático ou o static
application Security testing o principal objetivo desse teste é identificar erros de programação como práticas ruins falhas de segurança e erros de snta o sast Ele trabalha diretamente no código fonte de um produto e verifica os componentes dele sem a necessidade da execução dessa aplicação isso pode ser feito por meio de verificações manuais ou automatizadas sendo geralmente essas análises automatizadas agora que você entendeu um pouquinho o que é o sast bora ver as vantagens e desvantagens E também algumas ferramentas existentes no mercado para esse modelo de análise vantagens os testes sast descobrem falhas de segurança complexas
em pouco tempo e durante os primeiros estágios de desenvolvimento de um produto além de poder ser implementado no ciclo de desenvolvimento do software em diversos pontos e basicamente isso em tese é simples de se examinar mas a gente sabe que Nem tudo são flores e o Saas ele também possui algumas desvantagens e elas são a implementação em escala pode ser extremamente complexa além do que existem vários falsos positivos e negativos que os deves devem ficar de olho além do que a ferramenta ela precisa compreender aquele código independentemente da linguagem de programação e a maneira com
que ele foi desenvolvido e isso isso pode ser um desafio além do que ela não pode testar o sistema em um ambiente Real em execução ou seja as falhas de regra de negócio não são detectadas check Marks sast Cyber rest fortify perforce clock work sast e spectral spectral Ops plataform são apenas alguns exemplos de Tool sast Deu para entender né e se você tá gostando do conteúdo já deixa o like aí porque isso ajuda demais aqui no canal agora vamos pro Dust que é basicamente o teste de segurança dinâmico ou o dynamic application Security testing
esse tipo de teste que normalmente é aplicado de maneira complementar ao sash ele tem como principal objetivo Verificar como as informações são inseridas nas rotinas da aplicação seus inputs outputs analisando o seu tempo de resposta a capacidade do software e ele se adapta em diferentes ambientes e fazer uma análise Geral do seu funcionamento esse tipo de análise consegue identificar muitas vezes até os problemas mais sutis e que normalmente acabam passando em outro tipo de avaliação Mas isso não significa que a parada é perfeita O sast que foi citado anteriormente acaba sendo voltado para um retorno
Educacional paraa equipe de desenvolvimento já o Dash não ele tem e deve ser executado com menor frequência e ser utilizado por uma equipe competente o Dash ele também possui vantagens bem interessantes Como identificar e falhas de configuração de rede problemas de autentificação performance da aplicação e tudo mais seus falsos positivos também são menores e é uma alternativa com o custo benefício melhor e bem menos complexo se comparado ao sast porém existem desvantagens também como não fornecer informações sobre as causas das vulnerabilidades e poder apresentar problemas para manter um padrão de codificação nos seus relatórios além
do que a análise só pode ser feita em uma aplicação em execução sendo considerado até mesmo inadequada para estgios iniciais de o desenvolvimento de um software ou de uma aplicação de uma nova tecnologia actic Dust microfocus fortify web inspect synopsis managed Dust e tenable web app scanning são exemplos de ferramentas Dust e pra gente fechar a nossa explicação Vamos pro iast que é o teste de segurança interativo ou interactive application Security testing antes de irmos Confere aí se você já é inscrito aqui no canal e ajuda gente alcançar a nossa meta de 100.000 inscritos o
quanto antes eu nem sei se a gente vai chegar nesse número um dia mas é importante o iast usa instrumentação de software para avaliação de uma aplicação detectando vulnerabilidades com agentes e sensores que são executados para analisar de forma contínua o funcionamento da aplicação durante o teste automatizado o teste manual ou até mesmo durante ambos tanto automatizado manual os feedbacks são feitos em tempo real em seu ambiente e o iash tem acesso ao código inteiro também como ao fluxo de controle fluxo de dados configurações do sistema componentes e Conexões Deu para entender que o yash
ele é o mais abusado de todos né isso porque ele atua dentro da aplicação mesmo ele tem acesso a absolutamente tudo que ele precisa e por isso ele possui algumas vantagens bem legais uma das vantagens do iast é que ele detecta falhas mais cedo do que os outros tipos de teste isso por conta da abordagem shift left que ele possui ou seja ele realiza tudo desde o início desde o nascimento do software e por ali ele consegue já identificar desde o comecinho do ciclo de vida daquele produto além do que o relatório do iash ele
é mais completo possuindo os dados necessários para uma corção sendo extremamente preciso e podendo ser integrado nas pipelines de CD Diferentemente do Dust e do sast que nem sempre podem fazer Parte dessas pipeline mas nem tudo é tão bom assim até porque o iash ele também possui uma grande desvantagem que é a possibilidade de fazer com que a operação da aplicação fique mais lenta podendo prejudicar assim o desempenho da solução vária vezes até algumas vezes impossibilitando que ele seja executado junto com aquela aplicação E aí gostou do conteúdo deixa o like se inscreve no canal
e compartilha esse vídeo no seu grupo de estudos muito obrigado por ficar comigo até aqui e todas as fontes utilizadas para essa pesquisa estão aqui na tela até mais a gente se vê valeu tchau tchau não se esquece de dar uma olhada em fundamentos PG anonima.com e se inscreva na lista de espera do nosso novo treinamento que vai ser lançado lá em novembro já tem mais de 45 horas de conteúdo gravado
