SAST/DAST

목표

• SAST(Static Application Security Testing)와 DAST(Dynamic Application Security Testing)의 실제 적용 방법
• GitLab의 내장 보안 도구를 활용한 코드 취약점 분석 싨브
• Node.js 프로젝트에서의 보안 테스트 파이프라인 구축

CI/CD 파이프라인 설정
1. package.json: 프로젝트 설명서
2. app.js : 서버 코드
3. Dockerfile : 애플리케이션 포장 설명서
4. .gitlab-ci.yml: gitlab테스트 실행 설명서

SAST, DAST 개요

• SAST : 정적 코드 분석을 통한 보안 취약점 발견 - 코드에 있는 보안 문제를 미리 찾아냄(SQL 인젝션, 버퍼 오버플로우 등)
• DAST : 실행 중인 애플리케이션에 대한 동적 보안 테스트 - 실제 해커처럼 웹 애플리케이션을 공격해보며 취약점 탐색