DAST oder „Dynamic Application Security Testing“ bezieht sich auf das dynamische Testen der Sicherheit einer Anwendung. Es wird oft mit „SAST“ (Static Application Security Testing) kontrastiert. Während DAST Sicherheitslücken in einer laufenden Application identifiziert, untersucht SAST den Quellcode einer Anwendung in einem statischen Zustand, um potenzielle Schwachstellen aufzudecken.
Weder DAST noch SAST sind für sich genommen ausreichend, da jedes seine Stärken und Schwächen hat. DAST zeichnet sich durch die Erkennung hochprioritärer Bedrohungen aus der realen Welt aus, indem es die Application in ihrem Betriebszustand bewertet. Um jedoch eine umfassende Testabdeckung zu erreichen, sind umfangreiche Tests erforderlich und bei falsch dimensionierten Tests besteht die Gefahr, dass kritische Schwachstellen übersehen werden. Im Gegensatz dazu ermöglicht SAST umfassendere Tests durch die Analyse der gesamten Codebasis. Allerdings stellen die erkannten Schwachstellen nicht unbedingt reale Bedrohungen mit hoher Priorität dar.
Um die Application zu verbessern, ist die Einführung einer kombinierten Strategie unerlässlich. DAST kann dabei helfen, unmittelbare Schwachstellen mit hoher Priorität zu beheben, während SAST eine gründliche statische Analyse des Application gewährleistet, was zu einem robusteren und sicherheitsorientierteren Entwicklungslebenszyklus führt.