SAST (Static Application Security Testing)

Le SAST (Static Application Security Testing) consiste à analyser le code source d'une application sans l'exécuter, afin d'identifier les vulnérabilités de sécurité (injection SQL, XSS, hard-coded secrets, dépendances vulnérables, mauvaises pratiques crypto). C'est l'équivalent d'un linter de sécurité, intégré au pipeline CI/CD pour bloquer les vulnérabilités avant le déploiement.

Le SAST analyse le flux de données (taint analysis), les patterns connus, et la conformité aux règles. Avantages : détection précoce (shift-left), couverture exhaustive du code, indépendant de l'environnement de runtime. Limites : faux positifs nombreux, pas de détection des vulnérabilités d'environnement (config), nécessite tuning.

Les outils SAST populaires : SonarQube (multi-langage, le plus connu), Snyk Code, Checkmarx, Semgrep (open source, règles personnalisables), Bandit (Python), gosec (Go), Brakeman (Ruby on Rails), GitLab SAST (intégré natif), GitHub Code Scanning (CodeQL). Pour les secrets : git-secrets, TruffleHog, Gitleaks. Le SAST est complémentaire au DAST (dynamic) et SCA (Software Composition Analysis pour les dépendances). Compétence DevSecOps centrale.