Pagina 1 di 1
Il Dynamic Application Security Testing colpisce l'applicazione in esecuzione, non il codice sorgente. Trova quello che il SAST non vede: misconfigurazioni runtime, header di sicurezza mancanti, redirect aperti, leakage in response che dipendono da dati reali. Integrato nella pipeline diventa un secondo livello di difesa a costo basso.
In questa categoria scrivo di DAST applicato in CI: OWASP ZAP in modalità baseline nella GitHub Actions di un cliente, scoperta automatica di XSS e SQL injection in fase di staging che bloccano il merge, configurazione di scan autenticati per le aree riservate, riduzione dei falsi positivi.
Se la tua pipeline non ha ancora un livello DAST, parliamone. Oppure scopri il mio percorso in offensive security.
Security testing manuale è costoso e non scala. Ho costruito un layer di security testing automatico nella pipeline GitHub Actions di un cliente: PHPStan per l'analisi statica, OWASP ZAP in modalità baseline per il DAST, Trivy per i container. Zero colli di bottiglia, il tempo di CI è aumentato solo di 4 minuti. Continua a leggere
