SAST (Static Application Security Testing) — анализ исходного кода без выполнения. Инструменты: SonarQube, Checkmarx, Semgrep. Находит: injection pattern, hardcoded secrets, insecure crypto. DAST (Dynamic Application Security Testing) — тестируем работающее приложение. Инструменты: OWASP ZAP, Burp Suite. Находит: runtime уязвимости, неправильные конфиги. SCA (Software Composition Analysis) — анализ зависимостей. Инструменты: Snyk, Dependabot. Находит: CVE в библиотеках. Комбинируем все три — разные классы уязвимостей.
Что такое DAST, SAST и SCA?
Senior
301 просмотровAFK Offer AI
Что такое OpenAPI/Swagger спецификация и как использовать при тестировании?