{"id":2918,"date":"2024-06-11T11:08:43","date_gmt":"2024-06-11T14:08:43","guid":{"rendered":"https:\/\/aiqon.com.br\/blog\/?p=2918"},"modified":"2024-06-11T11:00:23","modified_gmt":"2024-06-11T14:00:23","slug":"por-que-voce-precisa-de-dast-sast-sca-e-pentest","status":"publish","type":"post","link":"https:\/\/aiqon.com.br\/blog\/por-que-voce-precisa-de-dast-sast-sca-e-pentest\/","title":{"rendered":"Por Que Voc\u00ea Precisa de DAST, SAST, SCA e Pentest"},"content":{"rendered":"<div id=\"bsf_rt_marker\"><\/div><p>Quando se trata de seguran\u00e7a de aplicativos (AppSec), a maioria dos especialistas recomenda o uso de <a href=\"https:\/\/www.aiqon.com.br\/crashtest\/\">Testes de Seguran\u00e7a de Aplica\u00e7\u00f5es Din\u00e2micas<\/a> (DAST) e Testes de Seguran\u00e7a de Aplica\u00e7\u00f5es Est\u00e1ticas (SAST) como abordagens &#8220;complementares&#8221; para uma AppSec robusta. No entanto, esses especialistas raramente especificam como execut\u00e1-los de maneira complementar.<\/p><div id=\"ez-toc-container\" class=\"ez-toc-v2_0_85 ez-toc-wrap-left counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Nesse Artigo<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabela de conte\u00fado\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/aiqon.com.br\/blog\/por-que-voce-precisa-de-dast-sast-sca-e-pentest\/#Pentest_Manual\" >Pentest Manual<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/aiqon.com.br\/blog\/por-que-voce-precisa-de-dast-sast-sca-e-pentest\/#Como_Funciona_a_Analise_Dinamica_DAST\" >Como Funciona a An\u00e1lise Din\u00e2mica (DAST)?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/aiqon.com.br\/blog\/por-que-voce-precisa-de-dast-sast-sca-e-pentest\/#Como_Funciona_a_Analise_Estatica_SAST\" >Como Funciona a An\u00e1lise Est\u00e1tica (SAST)?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/aiqon.com.br\/blog\/por-que-voce-precisa-de-dast-sast-sca-e-pentest\/#Analise_de_Composicao_de_Software\" >An\u00e1lise de Composi\u00e7\u00e3o de Software<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/aiqon.com.br\/blog\/por-que-voce-precisa-de-dast-sast-sca-e-pentest\/#Defesa_em_Profundidade\" >Defesa em Profundidade<\/a><\/li><\/ul><\/nav><\/div>\n\n<p>Usamos SAST, DAST, SCA e Pentest como os quatro pilares de nossa estrat\u00e9gia de defesa em profundidade para oferecer uma metodologia de AppSec &#8220;segura por design&#8221; ao longo de todo o ciclo de vida do desenvolvimento de software.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Pentest_Manual\"><\/span>Pentest Manual<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>A maioria das organiza\u00e7\u00f5es come\u00e7a sua jornada de AppSec realizando pentests manuais (MPT). Os pentests manuais s\u00e3o necess\u00e1rios para detectar classes de vulnerabilidades, como problemas de autoriza\u00e7\u00e3o e falhas na l\u00f3gica de neg\u00f3cios, que n\u00e3o podem ser encontrados apenas por avalia\u00e7\u00f5es automatizadas. Os pentesters altamente treinados podem revisar todo o ambiente, e n\u00e3o apenas o aplicativo, e podem seguir ou quebrar os fluxos de trabalho de uma maneira que \u00e9 dif\u00edcil para a automa\u00e7\u00e3o replicar. Al\u00e9m disso, os pentests s\u00e3o necess\u00e1rios para cumprir regulamentos como PCI DSS, <a href=\"https:\/\/aiqon.com.br\/blog\/o-que-e-o-hipaa-compliance\/\">HIPAA<\/a> etc.<\/p>\n<p>No entanto, os pentests manuais s\u00e3o apenas um tipo de avalia\u00e7\u00e3o e podem limitar a velocidade de desenvolvimento, pois \u00e9 um processo manual.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Como_Funciona_a_Analise_Dinamica_DAST\"><\/span>Como Funciona a An\u00e1lise Din\u00e2mica (DAST)?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>O teste de seguran\u00e7a de aplica\u00e7\u00f5es din\u00e2micas (DAST) \u00e9 uma avalia\u00e7\u00e3o de AppSec que verifica todos os aplicativos e estruturas interconectadas em um ambiente em execu\u00e7\u00e3o, sem olhar profundamente no c\u00f3digo-fonte. Os resultados da varredura din\u00e2mica &#8220;de fora para dentro&#8221; ajudam a priorizar a remedia\u00e7\u00e3o de vulnerabilidades explor\u00e1veis e reduzem imediatamente o risco de AppSec \u00e0 medida que s\u00e3o corrigidas. No entanto, pode ser desafiador identificar a linha exata do c\u00f3digo a ser trabalhada usando apenas DAST. Esta avalia\u00e7\u00e3o por si s\u00f3 \u00e9 limitada pela configura\u00e7\u00e3o do seu scanner e pelo que voc\u00ea escolhe testar. Se voc\u00ea n\u00e3o configurar adequadamente suas varreduras, pode perder vulnerabilidades e ter uma falsa sensa\u00e7\u00e3o de seguran\u00e7a.<\/p>\n<p>Al\u00e9m disso, como o aplicativo \u00e9 verificado no final do SDLC, h\u00e1 mais press\u00e3o sobre as equipes de desenvolvimento para remediar rapidamente as vulnerabilidades dif\u00edceis de encontrar. \u00c9 geralmente aqui que aumenta o atrito entre desenvolvimento e seguran\u00e7a, muitas vezes resultando em riscos n\u00e3o mitigados.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Como_Funciona_a_Analise_Estatica_SAST\"><\/span>Como Funciona a An\u00e1lise Est\u00e1tica (SAST)?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>O teste de seguran\u00e7a de aplica\u00e7\u00f5es est\u00e1ticas (SAST) \u00e9 uma avalia\u00e7\u00e3o de AppSec que testa aplicativos de dentro para fora, verificando aplicativos, mas sem execut\u00e1-los. Geralmente, visa o c\u00f3digo-fonte, c\u00f3digo de byte e c\u00f3digo bin\u00e1rio, e &#8220;senta&#8221; em um est\u00e1gio anterior do SDLC para que os desenvolvedores possam procurar por problemas de seguran\u00e7a antes que o aplicativo esteja completo. O SAST tamb\u00e9m fornece feedback de seguran\u00e7a em tempo real durante a codifica\u00e7\u00e3o, tornando-se um m\u00e9todo mais proativo para corrigir falhas rapidamente. Esta abordagem &#8220;de dentro para fora&#8221; pode ajudar a reduzir a d\u00edvida t\u00e9cnica de seguran\u00e7a pelo menor custo.<\/p>\n<p>Por outro lado, corrigir todas as falhas encontradas ap\u00f3s uma varredura SAST pode ser um uso ineficiente de recursos que pode n\u00e3o reduzir seu risco de maneira significativa. E como a varredura n\u00e3o \u00e9 executada em um ambiente em execu\u00e7\u00e3o, pode ser dif\u00edcil determinar quais falhas s\u00e3o imediatamente explor\u00e1veis ou entender como a explora\u00e7\u00e3o pode acontecer sem o treinamento adequado.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Analise_de_Composicao_de_Software\"><\/span>An\u00e1lise de Composi\u00e7\u00e3o de Software<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Colocar recursos no mercado mais rapidamente que a concorr\u00eancia quase sempre exige que as equipes de desenvolvimento usem pelo menos uma biblioteca de c\u00f3digo aberto em seu c\u00f3digo-fonte. O c\u00f3digo de terceiros \u00e9 uma necessidade no desenvolvimento de software moderno e, portanto, \u00e9 necess\u00e1rio proteg\u00ea-lo. Segundo o relat\u00f3rio &#8220;<a href=\"https:\/\/info.veracode.com\/report-state-of-software-security-open-source-edition.html\"><em>State of Software Security: Open-Source Edition<\/em><\/a>&#8221; da Veracode, 97,4% dos 85.000 aplicativos verificados tinham uma falha de seguran\u00e7a n\u00e3o corrigida em uma biblioteca externa. A boa not\u00edcia \u00e9 que quase 75% das falhas conhecidas podem ser corrigidas com uma atualiza\u00e7\u00e3o de vers\u00e3o. A Veracode Software Composition Analysis (SCA) e outras solu\u00e7\u00f5es semelhantes verificam automaticamente suas bibliotecas e suas depend\u00eancias para encontrar vulnerabilidades e ajud\u00e1-lo a corrigi-las.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Defesa_em_Profundidade\"><\/span>Defesa em Profundidade<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Se voc\u00ea realizar apenas SCA, n\u00e3o estar\u00e1 protegendo todo o seu c\u00f3digo-fonte. Se realizar apenas SAST, poder\u00e1 introduzir inefici\u00eancias relacionadas a recursos no SDLC durante a remedia\u00e7\u00e3o. Se realizar apenas MPT ou DAST, estar\u00e1 encontrando falhas em um est\u00e1gio posterior, mais caro, e aumentando a press\u00e3o sobre as equipes de desenvolvimento para encontrar a falha no c\u00f3digo-fonte e remedi\u00e1-la rapidamente.<\/p>\n<p>Para garantir que voc\u00ea obtenha o m\u00e1ximo valor do seu programa de AppSec, deve usar as descobertas de DAST para configurar pol\u00edticas de SAST e informar as atividades de SAST. Uma defesa r\u00e1pida contra algo como um problema de valida\u00e7\u00e3o de entrada\/sa\u00edda encontrado durante uma <a href=\"https:\/\/www.aiqon.com.br\/crashtest\/\">varredura<\/a> de DAST \u00e9 implementar uma regra WAF que impede que dados n\u00e3o autorizados saiam do aplicativo. Uma vez que a vulnerabilidade esteja segura nesse n\u00edvel, use SAST para ir fundo no c\u00f3digo-fonte para encontrar e corrigir a falha. Uma vez que o c\u00f3digo de primeira linha esteja seguro, integre o SCA em seus fluxos de trabalho de desenvolvimento para proteger seu c\u00f3digo de terceiros. Isso garante que voc\u00ea n\u00e3o est\u00e1 apenas confiando em um controle para prevenir um ataque.<\/p>\n<p>Al\u00e9m disso, \u00e9 fundamental continuar realizando avalia\u00e7\u00f5es de MPT para garantir as falhas que a automa\u00e7\u00e3o n\u00e3o pode encontrar. Voc\u00ea quer olhar para as hierarquias da arquitetura para garantir que est\u00e1 fazendo tudo o que pode para proteger cada n\u00edvel. Essa abordagem complementar facilita encontrar falhas explor\u00e1veis, remedi\u00e1-las rapidamente e at\u00e9 mesmo aprender a codifica\u00e7\u00e3o segura para preveni-las no futuro. Segundo a 11\u00aa edi\u00e7\u00e3o do relat\u00f3rio &#8220;State of Software Security&#8221;, as organiza\u00e7\u00f5es que fazem varreduras com SAST e DAST s\u00e3o mais propensas a remediar 50% de suas falhas 24,5 dias mais rapidamente do que se realizassem a varredura com apenas uma tecnologia. N\u00e3o \u00e9 dif\u00edcil entender por qu\u00ea: ao ver como um ataque pode ser explorado em tempo de execu\u00e7\u00e3o, os desenvolvedores aprendem a pensar como um atacante e podem at\u00e9 estar mais motivados para corrigir outras descobertas.<\/p>\n<p>No cen\u00e1rio de amea\u00e7as em expans\u00e3o de hoje, DAST, SAST, SCA e MPT fornecem um meio para que as equipes de DevSecOps protejam seu c\u00f3digo e fortale\u00e7am seus programas de AppSec antes que seja tarde demais.<\/p>\n<p><a href=\"https:\/\/lps.aiqon.com.br\/crashtest-trial\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-2284 size-full\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2022\/09\/CRASHTESTBLOGpng.png\" alt=\"Por Que Voc\u00ea Precisa de DAST, SAST, SCA e Pentest\" width=\"1000\" height=\"200\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2022\/09\/CRASHTESTBLOGpng.png 1000w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2022\/09\/CRASHTESTBLOGpng-300x60.png 300w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2022\/09\/CRASHTESTBLOGpng-768x154.png 768w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\" \/><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Quando se trata de seguran\u00e7a de aplicativos (AppSec), a maioria dos especialistas recomenda o uso de Testes de Seguran\u00e7a de Aplica\u00e7\u00f5es Din\u00e2micas (DAST) e Testes de Seguran\u00e7a de Aplica\u00e7\u00f5es Est\u00e1ticas (SAST) como abordagens &#8220;complementares&#8221; para uma AppSec robusta. No entanto, esses especialistas raramente especificam como execut\u00e1-los de maneira complementar. Usamos SAST, DAST, SCA e Pentest [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":2920,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[101],"tags":[311,223,312,313],"class_list":["post-2918","post","type-post","status-publish","format-standard","has-post-thumbnail","category-web-security","tag-appsec","tag-dast","tag-sast","tag-sca","czr-hentry"],"jetpack_featured_media_url":"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2024\/06\/SAST-DAST-SCA.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2918","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/comments?post=2918"}],"version-history":[{"count":2,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2918\/revisions"}],"predecessor-version":[{"id":2921,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2918\/revisions\/2921"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media\/2920"}],"wp:attachment":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media?parent=2918"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/categories?post=2918"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/tags?post=2918"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}