A respeito de governança de segurança da informação e de te...

Certo.

O IAST (Interactive Application Security Testing) é uma abordagem avançada para testes de segurança de aplicativos que combina características do SAST (Static Application Security Testing) e do DAST (Dynamic Application Security Testing).

• Ele insere agentes no código em execução (geralmente dentro da aplicação ou no servidor de aplicação).
• Esses agentes monitoram a execução do software em tempo real, analisando tanto o código-fonte quanto os comportamentos dinâmicos da aplicação.
• Com isso, o IAST consegue detectar vulnerabilidades com mais precisão do que o SAST e DAST isoladamente, pois tem visibilidade sobre o contexto da execução.

✅ Detecta vulnerabilidades com alta precisão, reduzindo falsos positivos.

✅ Funciona em tempo real, durante testes funcionais ou de integração.

✅ Ajuda desenvolvedores a identificar linhas exatas do código onde há vulnerabilidades.

Por essas razões, o IAST é uma solução eficaz para melhorar a segurança em ambientes de desenvolvimento ágil e DevSecOps.

⚠️Diferença em relação ao SAST, DAST, SCA e IAST:

• SAST → Analisa o código-fonte da aplicação. Estático.
• DAST → Testa a aplicação durante a execução, sem acesso ao código. Dinâmico.
• SCA → Não analisa código-fonte da aplicação principal, mas verifica bibliotecas e dependências externas.
• IAST → Combina técnicas de SAST e DAST, analisando a aplicação durante a execução com acesso ao código-fonte, identificando vulnerabilidades em tempo real.

Introdução a Governança de Segurança da Informação e Testes de Segurança

A governança de segurança da informação envolve a criação de políticas e controles para proteger dados e ativos digitais contra ameaças e vulnerabilidades. No contexto de segurança em sistemas, uma abordagem eficaz de testes de segurança é fundamental para identificar e corrigir vulnerabilidades em tempo hábil. Existem várias técnicas de testes de segurança, incluindo SAST (Static Application Security Testing) e DAST (Dynamic Application Security Testing). O SAST envolve a análise do código-fonte de um aplicativo sem executá-lo, identificando vulnerabilidades antes de o software ser executado. O DAST, por outro lado, foca na análise do comportamento de um aplicativo em tempo real, identificando falhas durante sua execução. Uma abordagem híbrida, como o IAST (Interactive Application Security Testing), combina o melhor dessas duas técnicas, oferecendo uma análise mais completa e eficiente da segurança de aplicações.

Resolução

A assertiva está correta. O IAST (Interactive Application Security Testing) é uma ferramenta de teste de segurança que combina elementos do SAST e do DAST. Ela utiliza agentes que são inseridos diretamente no código em execução, permitindo a coleta de informações detalhadas sobre o comportamento do aplicativo enquanto ele está em uso. Isso permite que o IAST forneça uma visão mais precisa das vulnerabilidades, não apenas verificando o código estático, como o SAST, mas também monitorando o aplicativo em tempo real, como o DAST. Essa combinação oferece uma análise mais abrangente, identificando problemas tanto no código quanto em sua execução prática.

Portanto, o IAST realmente combina as abordagens de SAST e DAST, ao mesmo tempo que insere agentes para monitorar a execução do aplicativo, melhorando a detecção e a correção de vulnerabilidades.

Resposta: Correta - Chatgpt