SAST dan DAST keduanya merupakan metode pengujian keamanan aplikasi, namun berbeda dalam pendekatan dan kemampuannya. SAST melakukan analisis statis terhadap kode sumber atau biner tanpa menjalankan aplikasi, sedangkan DAST melakukan analisis dinamis dengan menjalankan aplikasi. Keduanya saling melengkapi dan perlu dilakukan bersama-sama untuk pengujian keamanan yang komprehensif.
1. SAST vs DAST
Pengujian keamanan aplikasi statis (Static application security testing
– SAST) dan pengujian keamanan aplikasi dinamis (Dynamic
application security testing – DAST) keduanya adalah metode
pengujian untuk kerentanan keamanan.
SAST
(Static Application Security
Testing)
DAST
(Static Application Security
Testing)
Pengujian Keamanan Kotak Putih
- Penguji memiliki akses ke
kerangka kerja, desain, dan
implementasi yang
mendasarinya.
- Aplikasi ini diuji dari dalam ke
luar
- Jenis pengujian ini mewakili
pendekatan pengembang.
Pengujian Keamanan Kotak Hitam
- Penguji tidak memiliki
pengetahuan tentang teknologi
atau kerangka kerja tempat
aplikasi dibangun.
- Aplikasi diuji dari luar ke dalam.
- Jenis pengujian ini mewakili
pendekatan peretas.
Memerlukan Kode Sumber
- SAST tidak memerlukan
aplikasi yang digunakan.
- SAST menganalisis kode
sumber atau biner tanpa
menjalankan aplikasi.
Memerlukan Aplikasi Yang Sedang
Berjalan
- DAST tidak memerlukan kode
sumber atau binary.
- DAST menganalisis dengan
menjalankan aplikasi.
Menemukan Kerentanan
Sebelumnya Di SDLC
- Pemindaian dapat dijalankan
segera setelah kode dianggap
fitur-lengkap.
Menemukan Kerentanan
Menjelang Akhir SDLC
- Kerentanan dapat ditemukan
setelah siklus pengembangan
selesai.
Lebih Murah Untuk Memperbaiki
Kerentanan
- Karena kerentanan ditemukan
lebih awal di SDLC, lebih
mudah dan lebih cepat untuk
memulihkannya.
- Temuan seringkali dapat
Lebih Mahal Untuk Memperbaiki
Kerentanan
- Karena kerentanan ditemukan
menjelang akhir SDLC,
remediasi sering didorong ke
siklus berikutnya.
- Kerentanan kritis dapat
Mas Irfan – Filkom
Universitas Nahdlatul Ulama Cirebon
2. SAST
(Static Application Security
Testing)
DAST
(Static Application Security
Testing)
diperbaiki sebelum kode
memasuki siklus QA
diperbaiki sebagai rilis darurat.
Tidak Dapat Menemukan Masalah
Terkait Run-Time Dan Lingkungan
- Karena alat ini memindai kode
statis, ia tidak dapat
menemukan kerentanan run-
time
Dapat Menemukan Masalah
Terkait Run-Time Dan
Enveronment
- Karena alat menggunakan
analisis dinamis pada aplikasi,
alat ini dapat menemukan
kerentanan run-time
Biasanya Mendukung Semua Jenis
Perangkat Lunak
- Contohnya termasuk aplikasi
web, layanan web, dan klien
tebal
Biasanya Hanya Memindai Aplikasi
Seperti Aplikasi Web Dan Layanan
Web
- DAST tidak berguna untuk jenis
perangkat lunak lain.
TEKNIK SAST DAN DAST SALING
MELENGKAPI
KEDUANYA PERLU DILAKUKAN
UNTUK PENGUJIAN
KOMPREHENSIF
Mas Irfan – Filkom
Universitas Nahdlatul Ulama Cirebon