Source Code Security → SAST

การทดสอบความปลอดภัยของแอปพลิเคชันแบบสแตติก (SAST)

การทดสอบความปลอดภัยของแอปพลิเคชันแบบสแตติกที่ตรวจหาช่องโหว่ในขั้นตอนการพัฒนา ก่อนที่จะส่งผลกระทบในระดับ Production

SAST วิเคราะห์ Source Code แทนการทดสอบแอปพลิเคชันที่กำลังทำงาน ทำให้มองเห็น Code Path ที่ Runtime Testing เข้าไม่ถึง เช่น Error Handler, Batch Job, Scheduled Task และฟังก์ชัน Admin ภายใน และช่วยตรวจพบประเด็นก่อนถูกส่งขึ้น Production

เช่นเดียวกับ DAST คุณค่าของ SAST อยู่ที่สิ่งที่ล้อมรอบเครื่องมือ ข้อมูลดิบจาก Scanner มักมีความคลาดเคลื่อนสูงและหลายทีมที่เคยลอง "แค่รัน SAST" มักเลิกใช้ภายในหนึ่งรอบโครงการ SAST ของเราจึงเพิ่มการคัดกรองโดยที่ปรึกษา การตีความตามบริบทของแอปพลิเคชัน และการจัดลำดับตามความสามารถในการโจมตี เพื่อให้ผลลัพธ์เป็นสิ่งที่ทีม Engineering นำไปดำเนินการได้จริง

SAST มีประสิทธิภาพสูงสุดเมื่อเป็นส่วนหนึ่งของ Secure SDLC โดยผสานเป็น Gate ใน CI/CD และมีการทบทวนเชิงลึกเป็นระยะโดยที่ปรึกษา

ทำไมจึงสำคัญ

ความเสี่ยงที่ต้องพิจารณา

การวิเคราะห์แบบสแตติกเจอในสิ่งที่ไดนามิกไม่เจอ

Code Path ที่ไม่เคยถูกแตะระหว่าง DAST Scan ยังอยู่ใน Binary และ Hacker อาจเรียกใช้งานได้ SAST คือวิธีที่ทำได้จริงในการมองเห็นเส้นทางเหล่านั้น

ค่าใช้จ่ายในการซ่อมแซมจะเพิ่มขึ้นอย่างรวดเร็วตามเวลา

ช่องโหว่ที่เจอตอน Commit ใช้เวลาแก้เป็นนาที แต่ช่องโหว่เดียวกันที่พบใน Production อาจถูกโจมตีไปแล้วและต้องใช้กระบวนการ Incident Response

ขอบเขตและการครอบคลุม

สิ่งที่เราทดสอบ

การตรวจหาช่องโหว่

ตรรกะของการยืนยันตัวตนและการกำหนดสิทธิ์ (Authentication & Authorisation)
Input Validation และ Output Encoding
การจัดการ Configuration และ Secrets
Session Management
Cryptography และการจัดการ Key

Programme support

Secure SDLC integration
การวาง Policy Gate ใน CI/CD Pipeline
Compliance verification (PCI DSS, ISO 27001)
Developer-friendly remediation reporting
ปรับจูนเครื่องมือให้เข้ากับ Stack ของคุณ และลด False Positive

รูปแบบการดำเนินงาน

แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ

ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม

การกำหนดขอบเขต

กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย

การดำเนินการ

การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน

การตรวจสอบความถูกต้อง

ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล

การรายงาน

รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข

สรุปผลและการทดสอบซ้ำ

การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข

มาตรฐานและกรอบการทำงาน

อ้างอิงมาตรฐานสากลที่ได้รับการยอมรับ

OWASP ASVS

OWASP Top 10

NIST SSDF

ISO 27001:2022

คำถามที่พบบ่อย

คำถามจากผู้สนใจใช้บริการ

SAST จะตรวจพบช่องโหว่ด้านการอนุญาตหรือไม่ +

ทำได้เพียงบางส่วนเท่านั้น เครื่องมือ SAST สามารถตรวจจับ Role Check ที่ตกหล่น และรูปแบบ Data Flow ที่ชัดเจนได้ แต่ช่องโหว่การกำหนดสิทธิ์ที่ขับเคลื่อนด้วยตรรกะ (เช่น ช่องโหว่แบบหลายขั้นตอน การสับสน Role และ Business Logic) ยังต้องอาศัยการทดสอบแบบ Manual

คุณใช้เครื่องมือ SAST ตัวไหน +

ขึ้นอยู่กับตัวงาน เราจะเลือกภาษาให้ตรงกับรูปแบบการเชื่อมต่อ และเราเป็นกลางด้านเครื่องมือ สิ่งสำคัญคือกระบวนการคัดกรองและวิธีการทดสอบ ไม่ใช่ยี่ห้อของเครื่องสแกน

ทดสอบการป้องกันของท่านกับผู้เชี่ยวชาญด้านการรักษาความปลอดภัยเชิงรุก

ปรึกษาที่ปรึกษาที่ได้รับการรับรอง CREST เกี่ยวกับการทดสอบ Penetration Testing ครั้งถัดไปของท่าน

ปรึกษาผู้เชี่ยวชาญ