Dynamic Application Security Testing
稼働中のアプリケーションに対して外部から攻撃シミュレーションを行い、セキュリティ脆弱性を検出するテスト手法
ブラックボックステストとも呼ばれ、ソースコードを参照せず実行時の挙動を分析する
特徴
- DevSecOpsの継続的セキュリティテストを実現
- 認証、セッション管理、入力検証などランタイムの脆弱性を検出
- 代表ツール: OWASP ZAP / Burp Suite
- 検出結果を SARIF 形式で出力するツールも多い
DAST
-
DevSecOps#Security #Continuous Integration #Continuous Delivery DevOpsにセキュリティを統合したアプローチ ソフトウェア開発ライフサイクル(SDLC)の全段階にセキュリティを組み込む 主要な原則 シフトレフトセキュリティ 開発初期段階からセキュリティを考慮 自動化 CI/CDパイプラインへのセキュリティテストの統合 SAST / DAST の併用 コラボレーション 開発・セキュリティ・運用チームの協働 https://www.devsecops.org/
-
Aikido Security/Platform#Security "Unified Security Platform" を標榜する商用 SaaS(カテゴリは ASPM / Application Security Posture Management)。10 種類超のセキュリティスキャンを単一 UI に集約する スキャン対象: SAST / SCA / DAST / シークレット / IaC / コンテナ / CSPM / マルウェア / Code Quality / Outdated Software Terraform / CloudFormation / Kubernetes マニフェストの設定ミス検出にも対応 特徴 AutoFix / Bulk Fix で修正 PR を自動生成 AI Pentesting Agents による DAST 自動化(200+ エージェント) Aikido Intel - 依存パッケージのマルウェア検出 TL;DR Summary で脆弱性の要約と対応指針を提示 https://www.aikido.dev/