摘要：AST 开始时是一个手动过程。今天，由于企业软件的模块化程度不断提高，开源组件数量庞大，以及大量已知漏洞和威胁媒介，AST 必须自动化。大多数组织使用多种应用程序安全工具的组合。

应用程序安全测试（AST）工具市场总体规模

应用程序安全测试 (AST) 是通过识别源代码中的安全弱点和漏洞，使应用程序更能抵御安全威胁的过程。

AST 开始时是一个手动过程。今天，由于企业软件的模块化程度不断提高，开源组件数量庞大，以及大量已知漏洞和威胁媒介，AST 必须自动化。大多数组织使用多种应用程序安全工具的组合。

静态应用程序安全测试 (SAST)

SAST 工具使用白盒测试方法，其中测试人员检查应用程序的内部工作。SAST 检查静态源代码并报告安全漏洞。

静态测试工具可应用于非编译代码，以查找语法错误、数学错误、输入验证问题、无效或不安全引用等问题。它们还可以使用二进制和字节码分析器在编译后的代码上运行。

动态应用程序安全测试 (DAST)

DAST 工具采用黑盒测试方法。他们执行代码并在运行时检查它，检测可能代表安全漏洞的问题。这可能包括查询字符串、请求和响应、脚本的使用、内存泄漏、cookie 和会话处理、身份验证、第三方组件的执行、数据注入和 DOM 注入等问题。

DAST 工具可用于模拟大量意外或恶意测试用例并报告应用程序响应进行大规模扫描。

交互式应用程序安全测试 (IAST)

IAST 工具是 SAST 和 DAST 工具的演变——结合这两种方法来检测更广泛的安全漏洞。与 DAST 工具一样，IAST 工具动态运行并在运行时检查软件。然而，它们是从应用服务器内部运行的，允许它们像 IAST 工具一样检查编译的源代码。

IAST 工具可以提供有关漏洞根本原因和受影响的特定代码行的宝贵信息，从而使修复变得更加容易。它们可以分析源代码、数据流、配置和第三方库，适用于 API 测试。

移动应用安全测试 (MAST)

MAST 工具结合了对移动应用程序生成的取证数据的静态分析、动态分析和调查。他们可以测试SAST、DAST 和 IAST等安全漏洞，此外还可以解决特定于移动设备的问题，例如越狱、恶意 wifi 网络和移动设备的数据泄漏。

据QYResearch调研团队最新报告“全球应用程序安全测试（AST）工具市场报告2023-2029”显示，预计2029年全球应用程序安全测试（AST）工具市场规模将达到94.9亿美元，未来几年年复合增长率CAGR为17.5%。

图00001. 应用程序安全测试（AST）工具，全球市场总体规模

图00002. 全球应用程序安全测试（AST）工具市场前19强生产商排名及市场占有率（2021数据，持续更新）

全球范围内应用程序安全测试（AST）工具生产商主要包括Data Theorem、Kiuwan (Idera)、PortSwigger、GitLab、Invicti Security、GrammaTech、CAST、Parasoft 、Checkmarx、NTT Application Security等。2021年，全球前五大厂商占有大约51.0%的市场份额。

来源：梵高个人视点