SAST (Statik) ve DAST (Dinamik) Testleri

kullanici1

Mart 27, 2026

Siber Güvenlik

Modern yazılım geliştirme süreçlerinde güvenlik, yalnızca geliştirme sonrası bir kontrol değil, projenin her aşamasına entegre edilmesi gereken kritik bir bileşendir. SAST (Static Application Security Testing) ve DAST (Dynamic Application Security Testing), bu sürecin temel taşlarını oluşturur. Bu iki test yöntemi, yazılımın güvenlik açıklarını farklı açılardan değerlendirir ve riskleri minimuma indirir.

SAST (Statik Uygulama Güvenlik Testi)

SAST, uygulama çalıştırılmadan önce kaynak kodun, bytecode veya binary dosyanın analiz edilmesiyle gerçekleştirilen güvenlik testidir. Amaç, potansiyel zafiyetleri geliştirme sürecinin erken aşamalarında tespit etmektir. 

Özellikleri ve Avantajları: 

  • Kod çalıştırılmadan analiz yapılır, bu yüzden üretim ortamına ihtiyaç yoktur. 
  • SQL Injection, XSS, hatalı kimlik doğrulama ve veri doğrulama hataları gibi problemleri tespit eder. 
  • Erken aşamada güvenlik açığı tespiti sayesinde maliyetler düşer. 
  • Entegrasyonu CI/CD pipeline’larında kolaydır ve o tomatikleştirilebilir. 

Kullanılan Araçlar: 

  • SonarQube 
  • Fortify Static Code Analyzer 
  • Checkmarx 
  • Veracode 

Uygulama Örneği: 
Bir geliştirici, kullanıcı giriş formu için veri doğrulama yapmayı unuttuysa, SAST aracı bunu kod analizinde tespit eder ve uyarı verir. Böylece güvenlik açığı, uygulama çalıştırılmadan önce giderilebilir.

Gemini_Generated_Image_1q7sn21q7sn21q7s
Gemini_Generated_Image_r7d2fkr7d2fkr7d2

DAST (Dinamik Uygulama Güvenlik Testi)

DAST, uygulama çalıştırılırken, gerçek zamanlı saldırı senaryolarını simüle ederek sistemin dışarıdan görünümünü ve davranışını analiz eden test yöntemidir. 

Özellikleri ve Avantajları: 

  • Uygulama canlı veya test ortamında çalışırken değerlendirilir. 
  • Kullanıcı etkileşimleri, API çağrıları ve web formu girişleri üzerinden güvenlik açıklarını tespit eder. 
  • SQL Injection, XSS, CSRF ve session yönetimi problemleri gibi runtime hataları bulunur. 
  • Üretim ortamındaki davranışı görmek, gerçek saldırılara karşı hazırlıklı olmayı sağlar. 

Kullanılan Araçlar: 

  • OWASP ZAP 
  • Burp Suite 
  • Acunetix 
  • AppScan 

Uygulama Örneği: 
Bir web uygulaması, kullanıcı girişini çalıştırırken SQL Injection’a karşı korunmasızsa, DAST aracı bunu simüle edilen saldırı ile tespit eder ve raporlar.

Güvenli Yazılım Geliştirmede SAST ve DAST

En iyi uygulama: SAST ve DAST’in birlikte kullanılmasıdır. 

  • SAST, güvenlik hatalarını kod seviyesinde erken tespit eder. 
  • DAST, uygulamanın çalışırken güvenlik risklerini ortaya çıkarır. 
  • CI/CD pipeline’a entegre edilerek güvenlik sürekli ve otomatik hale getirilebilir. 

Sonuç

SAST ve DAST, modern yazılım güvenliğinin temel taşlarıdır. Statik analiz kod hatalarını erken aşamada tespit ederken, dinamik testler uygulamanın gerçek dünyadaki davranışını değerlendirir. İkisini birlikte kullanmak, yazılımın güvenlik seviyesini ciddi şekilde artırır ve üretim ortamındaki riskleri minimize eder.

Tags :
#DAST,#SAST,AppSec
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.