动态应用程序安全测试（DAST）

Tier: 旗舰版
Offering: JihuLab.com, 私有化部署

基于代理分析器的 DAST 已在极狐GitLab 16.9 中被弃用，并计划在 17.3 中移除。此更改是一个破坏性更改。有关如何从基于代理的 DAST 分析器迁移到 DAST 版本 5 的说明，请参阅基于代理的迁移指南。有关如何从 DAST 版本 4 浏览器分析器迁移到 DAST 版本 5 的说明，请参阅浏览器分析器迁移指南。

动态应用安全测试 (DAST) 运行自动化渗透测试，以发现您的 Web 应用程序和 API 在运行时的漏洞。DAST 自动化黑客的方法并模拟真实世界中的攻击，以揭示其他安全工具无法检测到的漏洞和配置错误，例如跨站脚本攻击 (XSS)、SQL 注入 (SQLi) 和跨站请求伪造 (CSRF) 等关键威胁。

DAST 完全与语言无关，从外部检查您的应用程序。DAST 扫描可以在 CI/CD 流水线中运行、按计划运行或手动按需运行。在软件开发生命周期中使用 DAST 可以在生产环境部署之前发现应用程序中的漏洞。DAST 是软件安全的基础组件，应该与其他极狐GitLab 安全工具一起使用，以提供应用程序的全面安全评估。

极狐GitLab DAST#

极狐GitLab DAST 和 API 安全分析器是专有的运行时工具，为现代 Web 应用程序和 API 提供广泛的安全覆盖。

根据您的需求使用 DAST 分析器：

要扫描基于 Web 的应用程序，包括单页面 Web 应用程序，以发现已知漏洞，请使用 DAST 分析器。
要扫描 API 以发现已知漏洞，请使用 API security 分析器。支持 GraphQL、REST 和 SOAP 等技术。

分析器遵循在 Secure your application 中描述的架构模式。每个分析器可以通过使用 CI/CD 模板在流水线中配置，并在 Docker 容器中运行扫描。扫描输出为 DAST report artifact，极狐GitLab 使用它来确定基于源分支和目标分支扫描结果之间差异的发现漏洞。

查看扫描结果#

检测到的漏洞显示在合并请求、流水线安全选项卡和漏洞报告中。

一个流水线可能包含多个作业，包括 SAST 和 DAST 扫描。如果任何作业因任何原因未能完成，安全仪表板不会显示 DAST 扫描器输出。例如，如果 DAST 作业完成但 SAST 作业失败，安全仪表板不会显示 DAST 结果。失败时，分析器输出一个退出代码。

列出已扫描的 URL#

当 DAST 扫描完成时，合并请求页面会显示扫描的 URL 数量。选择 查看详情 来查看 Web 控制台输出，其中包括已扫描的 URL 列表。