Pruebas de seguridad de aplicaciones estáticas (SAST) vs dinámicas (DAST)

In julio 16, 2018

Aunque las pruebas de penetración (Pen), las pruebas de seguridad de aplicaciones interactivas (IAST) y los cortafuegos de aplicaciones web (WAF) son metodologías de seguridad ampliamente reconocidas, normalmente se utilizan como procesos para complementar las dos soluciones más populares que se utilizan en la actualidad: las Pruebas de Seguridad de Aplicaciones Estáticas (SAST) y las Pruebas de Seguridad de Aplicaciones Dinámicas (DAST).

SAST vs DAST será discutido alrededor de 5 parámetros en este artículo:

· Integración del Ciclo de Vida de Desarrollo de Software (SDLC).

· Integración Continua y Entrega Continua (CICD).

· Cobertura y efectividad de vulnerabilidades.

· Desempeño de Mitigación/Remediación.

· Retorno de la inversión (ROI).

Integración del ciclo de vida del desarrollo de software (SDLC) 

¿Cómo se apilan SAST y DAST cuando se trata de crear un SDLC (sSDLC) seguro?

La creación de un Ciclo de Vida de Desarrollo de Software seguro (sSDLC) está empezando a convertirse en una de las formas más completas de asegurar el desarrollo seguro de aplicaciones web y móviles. Pero los tres patrones fundamentalmente diferentes implementados en las principales organizaciones de desarrollo de aplicaciones de hoy en día están planteando un enorme desafío en el frente de la seguridad.

· Cascada (Proceso de Diseño Secuencial)

· Agile/DevOps (Desarrollo Iterativo)

· Integración Continua y Entrega Continua (CICD)

Las grandes organizaciones a menudo tienen más de uno de estos que se utilizan simultáneamente, según las necesidades de los diferentes equipos de desarrollo que trabajan en el proyecto.

Pruebas de seguridad de aplicaciones estáticas (SAST): las soluciones SAST, como el Análisis de Código Fuente (SCA), tienen la flexibilidad necesaria para funcionar en todo tipo de metodologías SDLC.

Las soluciones SAST pueden integrarse directamente en el entorno de desarrollo. Esto permite a los desarrolladores monitorizar su código constantemente. Los Maestros Scrum y los Propietarios de Productos también pueden regular los estándares de seguridad dentro de sus equipos de desarrollo y organizaciones. Esto conduce a una rápida mitigación de las vulnerabilidades y a una mayor integridad del código.

Pruebas Dinámicas de Seguridad de Aplicaciones (DAST): las pruebas de Black Box son ideales para entornos Waterfall, pero se quedan cortas en los métodos de desarrollo más progresivos debido a sus limitaciones heredadas. Las herramientas DAST no se pueden utilizar en código fuente o códigos de aplicación no complicados, lo que retrasa la implementación de seguridad hasta las últimas etapas de desarrollo.

Retorno de la inversión (ROI)

Comparación del factor «relación calidad-precio» de las dos metodologías.

Otro aspecto importante es la inversión que requiere la organización. El desarrollo de aplicaciones web y móviles puede resultar un proyecto muy costoso y con muchos recursos, a menudo causando un descenso en la inversión en el frente de la seguridad. No se recomienda hacer esto, como se evidencia en la siguiente infografía.


En Altcomp somos Especialistas, Consultores e integradores de TI con 28 años de experiencia y proveemos infraestructura, herramientas, aplicaciones y servicios que facilitan a las empresas efectuar su transición del actual al nuevo paradigma computacional.

¡Concierte su cita con nosotros y con mucho gusto le asesoramos!

Fuente: Checkmarx

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.