• O teste tem acesso as • O teste tem acesso as camadas de estrutura, design camadas de estrutura, design e codificação. e codificação. • A aplicação é testada de • A aplicação é testada de dentro para fora. dentro para fora. • Esse tipo de teste representa • Esse tipo de teste representa a abordagem do a abordagem do desenvolvedor. desenvolvedor.
Requer o Código Fonte Requer Aplicação em Execução
• SAST não reque a aplicação
• DAST não requer código fonte em execução. ou binário. • Analisa do código fonte ou do • Analisa a aplicação em tempo binário sem executar a de execução. aplicação.
Vulnerabilidades antes do SDLC Vulnerabilidade ao final do SDLC
• DAST não requer código fonte • O Scan pode executar assim ou binário. que o código estive finalizado. • Analisa a aplicação em tempo de execução.
Baixo custo de correção Alto custo de correção
• As vulnerabilidades • Conforme as vulnerabilidades encontradas no fim do SDLC são encontradas podem ser geralmente são corrigidas corrigidas antes do SDLC. para o próximo release. • As vulnerabilidade são • Vulnerabilidades críticas descobertas antes de entrar provocam releases em homologação. emergenciais.
Não descobre erros em ambiente Descobre erros em ambiente
• Como as ferramentas • Como a ferramenta de análise
analisam o código fonte não dinâmica analisam a aplicação podem descobrir que estão em ambiente de vulnerabilidades em tempo de execução, descobrem execução. vulnerabilidades do ambiente.
Suporta várias Tecnologias Suporta Tecnologia WEB e Mobile
• DAST não são utilizados para
• Suportam tecnologia de outros tipos de aplicações desenvolvimento para Web, que não sejam WEB ou Mobile, Web Service e etc. Mobile.