Mikä on SAST (Staattinen sovellusturvatestaus)?
SAST on eräänlainen sovellusturvatestaus, joka tarkistaa sovelluksen lähdekoodin (kehittäjien kirjoittama alkuperäinen koodi), riippuvuudet (ulkopuoliset kirjastot tai paketit, joihin koodi tukeutuu) tai binääritiedostot (käännetty koodi, joka on valmis suoritettavaksi) ennen sen suorittamista. Tätä lähestymistapaa kutsutaan usein white-box-testaukseksi, koska se tutkii koodin sisäistä logiikkaa ja rakennetta haavoittuvuuksien ja virheiden varalta sen sijaan, että testaisi vain sovelluksen käyttäytymistä ulkopuolelta.
Miksi SAST on tärkeä kyberturvallisuudessa
Koodin turvaaminen on keskeinen osa DevSecOpsia. SAST auttaa organisaatioita löytämään haavoittuvuuksia, kuten SQL-injektio, Cross-Site Scripting (XSS), heikko salaus ja muita turvallisuusongelmia aikaisessa vaiheessa ohjelmistokehityksen elinkaarta. Tämä tarkoittaa, että tiimit voivat korjata ongelmat nopeammin ja edullisemmin.
Kuinka SAST toimii
- Analysoi lähdekoodia, binääritiedostoja tai bytecodea ilman niiden suorittamista.
- Tunnistaa haavoittuvuuksia koodauskäytännöissä (esim. puuttuva validointi, paljastettu API-avain)
- Integroituu kehittäjän työnkulkuun (CI/CD)
- Luo raportin löydetyistä haavoittuvuuksista ja antaa ohjeita niiden ratkaisemiseksi (korjaus)
Yleisiä SAST löytämät haavoittuvuudet
- SQL-injektio
- Cross-site scripting (XSS)
- Epävarmojen kryptografisten algoritmien käyttö (esim. MD5, SHA-1)
- API-avainten tunnistetietojen paljastaminen kovakoodattuna
- Puskurin ylivuoto
- Validointivirhe
SAST edut
- Halvemmat kustannukset: haavoittuvuuksien korjaaminen aikaisessa vaiheessa on edullisempaa kuin käyttöönoton jälkeen
- Varhainen havaitseminen: löytää tietoturvaongelmat kehityksen aikana.
- Yhteensopivuuden tuki: noudattaa standardeja kuten OWASP, PCI DSS ja ISO 27001.
- Shift-left-tietoturva: integroi tietoturva kehitysprosessiin alusta alkaen
- Kehittäjäystävällinen: tarjoaa kehittäjälle konkreettisia toimenpiteitä tietoturvaongelmien korjaamiseksi.
Esimerkki
SAST-testin aikana työkalu löytää tietoturvaongelmia, joissa kehittäjät käyttävät epävarmaa MD5
salasanojen hajauttamiseen. SAST-työkalu merkitsee sen haavoittuvuudeksi ja ehdottaa MD5 korvaamista bcryptillä tai Argon2, jotka ovat vahvempia algoritmeja verrattuna MD5.