Webアプリケーションにおける脆弱性診断が全く分かっていないので、調べてみた。

開発時にはSAST/IASTでコードのテストを実施し、リリース直前にDASTで脆弱性を検査することになるのかな。
まだ最近出てきた仕組みのようなので、引き続きウォッチが必要そう。

DAST(動的アプリケーション・セキュリティ・テスト)
　セキュリティにおけるブラックボックステストのこと。
　外部からツールや人手によりアプリケーションを検査し、攻撃シミュレーションに対する反応により脆弱性の有無を確認する手法のこと。
　DASTスキャナーは、作業前にまずウェブアプリケーションをクロールする。その後、ウェブアプリケーションのページ内に表示される
　すべての入力を検索し、これを利用して様々な脆弱性テストを実行する。

SAST(静的アプリケーション・セキュリティ・テスト)
　セキュリティにおけるホワイトボックステストのこと。
　アプリケーションのソースコードを精査するテストで、DevOpsモデルを用いてソフトウェア開発ライフサイクル（SDLC）の
　初期段階から取り入れられ、結果を反復的に確認しセキュリティを高めていく手法のこと。

IAST(インタラクティブ・アプリケーション・セキュリティ・テスト）
　開発者が自動または手動でテストを実行している間に、実行中のアプリケーションのコードの脆弱性を精査する手法のこと。

RASP(Runtime Application Self Protection)
　アプリケーションの実行時にサーバー上で実行され、アプリケーションに対する攻撃をリアルタイムで検出して保護(ブロック)する。
　セキュリティツールをインストールできないFaaS環境やPaaS、CaaSでアプリケーションを保護するために利用される。
　RASPは各言語ごとのモジュールで提供されるので、アプリケーション側は都度RASPモジュールを呼び出すコードを追加する。
　製品例：米ShiftLeft、米PaloAlto、トレンドマイクロ等

参考：
動的アプリケーション・セキュリティ・テスト（DAST）の概要と仕組み | シノプシス
7 Runtime Application Self-Protection (RASP) Tools for Modern Applications