Lo spazio del software DevSecOps continua a evolversi mentre i team di sviluppo prodotto lavorano per adottare strategie di consegna "sicure per impostazione predefinita". Nel febbraio 2022, G2 ha lanciato la sua categoria di Software di Test di Sicurezza delle Applicazioni Interattive (IAST) per rappresentare un approccio chiave ai test.

IAST: il fratello più giovane di SAST e DAST

Il software IAST esiste da circa quattro anni, ma ha ancora molto spazio per crescere nel mercato. Si unisce al test di sicurezza delle applicazioni statiche (SAST) e al test di sicurezza delle applicazioni dinamiche (DAST) per formare un repertorio da cui i team di sviluppo possono personalizzare l'approccio che funziona meglio per loro. Mentre SAST esegue test di sicurezza senza eseguire effettivamente il codice di un'applicazione (da qui "statico"), e DAST utilizza un metodo di test black-box per eseguire test dall'esterno dell'applicazione, il software IAST consente agli utenti di impostare un'analisi di sicurezza automatizzata che avviene all'interno dell'applicazione mentre è in esecuzione.

Il software IAST non è uno strumento universale che sostituisce SAST e DAST. Invece, è meglio considerarlo come un complemento a una o entrambe queste soluzioni. DevSecOps, la strategia di consegna del software che cerca di ottimizzare i flussi di lavoro attraverso lo sviluppo continuo, l'integrazione, la sicurezza e la consegna, richiede l'automazione per avere successo.

IAST, SAST e DAST automatizzano tutti aspetti del processo di test di sicurezza del software per aiutare i team a raggiungere la sicurezza per impostazione predefinita, ma gli approcci che abilitano differiscono. Una strategia DevSecOps di successo richiede una combinazione di misure di sicurezza che siano complete e approfondite, risparmiando al contempo tempo rendendo la sicurezza una parte naturale del processo di sviluppo.

Come aiuta IAST?

Come SAST, IAST viene tipicamente utilizzato nelle fasi iniziali del ciclo di sviluppo del software. Ciò significa che i problemi di sicurezza vengono rilevati prima piuttosto che dopo, risparmiando ai team molto tempo e mal di testa.

Uno dei vantaggi di un approccio DevSecOps è che più i team possono tappare i buchi di sicurezza man mano che procedono, meno devono tornare indietro e rifare. Poiché monitora le applicazioni dall'interno in tempo reale, il software IAST ha anche il potenziale per essere molto più efficiente di SAST e DAST. Quando IAST rileva vulnerabilità basate su requisiti di conformità noti o parametri definiti dall'utente, notifica automaticamente i tester del software. Oltre alla notifica, il software IAST fornisce suggerimenti di rimedio per dare agli sviluppatori un punto di partenza mentre lavorano per risolvere i problemi.

Tuttavia, vale la pena notare che il software IAST viene eseguito solo in punti predefiniti. Ciò significa che gli utenti del software IAST devono essere scrupolosi nel determinare quali test devono essere eseguiti e quando. L'integrazione di IAST con altri strumenti di automazione dei test può integrare questa pratica, poiché gli utenti possono riutilizzare i loro parametri di test stabiliti. In contrasto con i punti di test definiti dall'utente di IAST, SAST analizza l'intero codice dell'applicazione. Tenendo presente ciò, SAST ha una copertura maggiore rispetto a IAS, ma può anche produrre più falsi positivi quando rileva vulnerabilità.

Guardando al futuro

In G2, continueremo ad aggiornare la nostra tassonomia per rappresentare i mercati emergenti del software. Sebbene lo spazio IAST non sia robusto come gli spazi SAST e DAST, è un pezzo importante del puzzle dei test di sicurezza delle applicazioni (AppSec). Ci aspettiamo di vedere più prodotti aggiunti alla categoria man mano che lo spazio DevSecOps continua a evolversi rapidamente.