DAST ve SAST Birlikte Nasıl Kullanılır?

Kısaca

• SAST erken uyarı sağlar; DAST koşan uygulamada gerçek riskleri gösterir.
• İkisini tek panele bağlamak, tekilleştirme ve bağlamla yanlış pozitifleri düşürür.
• CI/CD’ye entegre edilirse erken ve sürekli geri bildirim sağlanır.

SAST: Ne Zaman ve Nasıl?

• Commit/MR aşamasında hızlı taramalar; kritik kurallar için policy fail
• Dil/çerçeveye uygun kurallar ve kural seti bakımı
• Gürültüyü azaltmak için base-line ve istisna yönetimi

DAST: Ne Zaman ve Nasıl?

• Deploy sonrası staging/preview ortamlarında tarama
• Kimlikli test ve iş akışlarını kapsayan tarama profilleri
• Hız limitleri ve üretime etkisiz test prensipleri

Birlikte Daha Güçlü

• DAST bulgusunu SAST kod referansıyla ilişkilendirip kök sebebi düzeltin
• Çakışan bulguları tekilleştirip tek kayıt üzerinden takip edin
• Retest ve SLA takibi ile kapanışı doğrulayın

Ürünle Birlikte

SİTEY, SAST/DAST çıktılarını standart modele dönüştürür; tekilleştirme, önceliklendirme ve retest akışları ile kapanışı hızlandırır.

SSS

Kullanım Senaryoları

• MR aşaması SAST: Geliştiriciye anında geri bildirim ve politika kontrolleri.
• Staging DAST: Kimlikli/akıslı test profilleriyle gerçekçi taramalar.
• Bütünleşik bulgu takibi: SAST/DAST çakışan bulguların tek kayıtta birleşmesi.

Sık Yapılan Hatalar

• Kuralsız SAST: Projeye uygun kural setleri ve bakımı yapılmayan taramalar.
• Kimliksiz DAST: Oturum gerektiren akışların taranmaması.
• Bağımsız takip: SAST/DAST bulgularını ayrı ayrı yönetip gürültüyü artırmak.

Pipeline Örneği

1. MR aşaması: Hızlı SAST + temel gizlilik kontrolleri (secret/leak).
2. Build sonrası: Genişletilmiş SAST ve bağımlılık taraması (SCA).
3. Staging deploy: Kimlikli DAST ve iş akışı profilleri.
4. Birleştirme: Çakışan bulgular tekilleştirilir, risk skoru hesaplanır.
5. Kapama: Otomatik retest ve kanıt saklama.