SAST (Analyse statique)
Définition
Static Application Security Testing : analyse du code source ou du bytecode sans exécution pour détecter les vulnérabilités de sécurité (injection, XSS, secrets en dur, etc.). Outils : Semgrep, SonarQube, Checkmarx.
Pourquoi c'est important
Le SAST détecte les vulnérabilités au plus tôt dans le cycle de développement, quand elles sont les moins coûteuses à corriger. C'est le pilier du « shift-left » en sécurité.
Comment l'enseigner
Faites analyser le code d'un projet vulnérable avec Semgrep : les étudiants voient les résultats, apprennent à distinguer les vrais positifs des faux positifs, et corrigent le code.
Idée d'exercice
Code review automatisée : analysez un projet intentionnellement vulnérable avec Semgrep, triez les résultats (vrai positif, faux positif, à vérifier) et corrigez les 5 vulnérabilités les plus critiques.
Erreur courante en formation
Se fier aveuglément aux résultats SAST sans revue humaine : le taux de faux positifs peut décourager les développeurs si les résultats ne sont pas triés.
Questions fréquentes
Qu'est-ce que le SAST (Analyse statique) en cybersécurité ?
Static Application Security Testing : analyse du code source ou du bytecode sans exécution pour détecter les vulnérabilités de sécurité (injection, XSS, secrets en dur, etc.). Outils : Semgrep, SonarQube, Checkmarx.
Comment enseigner le SAST (Analyse statique) à des étudiants ?
Faites analyser le code d'un projet vulnérable avec Semgrep : les étudiants voient les résultats, apprennent à distinguer les vrais positifs des faux positifs, et corrigent le code. Code review automatisée : analysez un projet intentionnellement vulnérable avec Semgrep, triez les résultats (vrai positif, faux positif, à vérifier) et corrigez les 5 vulnérabilités les plus critiques.
Pourquoi SAST (Analyse statique) est-il important en formation cybersécurité ?
Le SAST détecte les vulnérabilités au plus tôt dans le cycle de développement, quand elles sont les moins coûteuses à corriger. C'est le pilier du « shift-left » en sécurité.