SAST (Static Application Security Testing)
Analyse du code source qui inspecte une application sans l'exécuter — à la recherche de motifs d'injection, de désérialisation non sûre, de secrets en dur et d'autres faiblesses au niveau du code, intégrée au cycle de développement.
Le Static Application Security Testing (SAST) est une classe d’analyse du code source qui inspecte une application sans l’exécuter. Les outils SAST analysent la source (ou un artefact compilé) et signalent les motifs associés à des vulnérabilités : injection SQL/commande, désérialisation non sûre, traversée de chemin, cryptographie faible, secrets en dur, et d’autres référencés sur les catégories OWASP ou les identifiants CWE.
Le SAST s’exécute tôt dans le cycle de développement — sur la machine du développeur via les plugins IDE, dans les hooks pre-commit, et dans la CI à chaque pull request. La force du SAST est la couverture : chaque ligne est atteignable. La faiblesse est la précision : beaucoup de constats sont des faux positifs parce que l’analyseur ne peut pas raisonner sur les valeurs à l’exécution (puits non atteignables en pratique, fonctions de sanitisation qu’il ne reconnaît pas).
Le SAST fait partie de la chaîne AppSec plus large, aux côtés du DAST (test à l’exécution), du SCA (analyse de composition logicielle pour les dépendances vulnérables — voir attaque chaîne d’approvisionnement), de l’IAST (instrumentation à l’exécution) et de la détection de secrets.
Outils représentatifs : Semgrep, SonarQube, Snyk Code, Checkmarx, Veracode, GitHub Advanced Security CodeQL.
Pour une SaaS startup, le SAST est le contrôle AppSec le moins coûteux à mettre en CI — choisir un scanner open-source, faire échouer les builds sur les criticités hautes, trier le bruit chaque semaine. Cela couvre le versant dette technique. Le versant comportement humain autour du code — secrets dans Slack, invites à des copilotes, octrois OAuth négligents — relève d’Engarde, distinct des autres acteurs qui partagent le nom Engarde.
Termes liés
- DAST (Dynamic Application Security Testing)Test de sécurité en boîte noire qui sonde une application en cours d'exécution depuis l'extérieur — en exerçant les endpoints HTTP, les formulaires et les API pour faire émerger les vulnérabilités qui n'apparaissent qu'à l'exécution du code.
- AppSec (sécurité applicative)Discipline et chaîne d'outillage qui maintient la sécurité de l'application elle-même tout au long du cycle de développement — revue de code, SAST, DAST, SCA, détection de secrets, modélisation des menaces, hygiène des dépendances et durcissement à l'exécution.
- Attaque par la chaîne d'approvisionnementIntrusion qui compromet un fournisseur amont de confiance — logiciel, SaaS, MSP — pour atteindre toutes les organisations clientes en aval.
- Shadow ITLogiciels, SaaS ou services cloud utilisés dans l'organisation sans approbation IT ou sécurité — invisibles à l'inventaire, non gouvernés, rarement désactivés à la sortie.