O espaço de software DevSecOps continua a evoluir à medida que as equipes de desenvolvimento de produtos trabalham para adotar estratégias de entrega "seguras por padrão". Em fevereiro de 2022, a G2 lançou sua categoria de Software de Teste de Segurança de Aplicações Interativas (IAST) para representar uma abordagem de teste chave.

IAST: o irmão mais novo do SAST e DAST

O software IAST existe há cerca de quatro anos, mas ainda tem muito espaço para crescer no mercado. Ele se junta ao teste de segurança de aplicações estáticas (SAST) e ao teste de segurança de aplicações dinâmicas (DAST) para formar um repertório do qual as equipes de desenvolvimento podem adaptar a abordagem que melhor funciona para elas. Enquanto o SAST executa testes de segurança sem realmente executar o código de uma aplicação (daí "estático"), e o DAST usa um método de teste de caixa preta para realizar testes de fora da aplicação, o software IAST permite que os usuários configurem uma análise de segurança automatizada que ocorre dentro da aplicação enquanto ela está em execução.

O software IAST não é uma ferramenta abrangente que substitui o SAST e o DAST. Em vez disso, é melhor pensado como um complemento para uma ou ambas as soluções. O DevSecOps, a estratégia de entrega de software que busca otimizar os fluxos de trabalho por meio de desenvolvimento contínuo, integração, segurança e entrega, requer automação para ser bem-sucedido.

IAST, SAST e DAST automatizam aspectos do processo de teste de segurança de software para ajudar as equipes a alcançar a segurança por padrão, mas as abordagens que eles permitem diferem. Uma estratégia de DevSecOps bem-sucedida requer uma combinação de medidas de segurança que sejam abrangentes e completas, ao mesmo tempo que economizam tempo ao tornar a segurança uma parte natural do processo de desenvolvimento.

Como o IAST ajuda?

Assim como o SAST, o IAST é tipicamente usado nas fases iniciais do ciclo de desenvolvimento de software. Isso significa que os problemas de segurança são detectados mais cedo, economizando muito tempo e dor de cabeça para as equipes.

Um dos benefícios de uma abordagem DevSecOps é que quanto mais as equipes conseguem tapar buracos de segurança à medida que avançam, menos precisam voltar e refazer. Como monitora as aplicações internamente em tempo real, o software IAST também tem o potencial de ser muito mais eficiente do que o SAST e DAST. Quando o IAST detecta vulnerabilidades com base em requisitos de conformidade conhecidos ou parâmetros definidos pelo usuário, ele notifica automaticamente os testadores de software. Além da notificação, o software IAST fornece sugestões de remediação para dar aos desenvolvedores um ponto de partida enquanto trabalham para resolver os problemas.

No entanto, vale a pena notar que o software IAST só é executado em pontos pré-definidos. Isso significa que os usuários do software IAST devem ser minuciosos ao determinar quais testes devem ser executados e quando. A integração do IAST com outras ferramentas de automação de testes pode complementar essa prática, pois os usuários podem reutilizar seus parâmetros de teste estabelecidos. Em contraste com os pontos de teste definidos pelo usuário do IAST, o SAST analisa a totalidade do código da aplicação. Com isso em mente, o SAST tem uma cobertura maior do que o IAS—mas também pode produzir mais falsos positivos ao detectar vulnerabilidades.

Olhando para o futuro

Na G2, continuaremos a atualizar nossa taxonomia para representar mercados de software emergentes. Embora o espaço IAST não seja tão robusto quanto os espaços SAST e DAST, ele é uma peça importante do quebra-cabeça de teste de segurança de aplicações (AppSec). Esperamos ver mais produtos adicionados à categoria à medida que o espaço DevSecOps continua a evoluir rapidamente.