问什么是动态代码分析？和DAST一样吗？

EN

SAST不仅仅是扫描代码。我认为扫描依赖列表/文件或检查容器和主机是一种静态分析形式。任何不需要执行和与系统交互的内容都是静态分析的一种形式。

同样，我认为DAST不仅仅是渗透测试。使用自动化工具进行Web应用程序漏洞扫描也是DAST的一种形式。任何需要部署和运行系统以便与其交互的东西都将是DAST的一种形式。

渗透测试通常同时使用工具和人工知识/经验来测试运行中的应用程序。通常情况下，它是DAST，但取决于合同条款，它也可能包括SAST。

“动态源代码评审”对我来说没有多大意义。读取和查看源代码本质上是一种静态活动，因为它不涉及运行系统。

是。动态代码分析与DAST相同。检查以下检查点网页：

什么是动态代码分析？动态代码分析--也称为动态应用程序安全测试(DAST) --旨在测试运行中的应用程序是否存在潜在的可利用漏洞。用于识别编译时和运行时漏洞的DAST工具，例如仅在实际执行环境中出现的配置错误。

参考资料：https://www.checkpoint.com/cyber-hub/cloud-security/what-is-dynamic-code-analysis/#