문제
다음 중 DevSecOps 파이프라인에서 SAST(Static Application Security Testing) 도구의 한계로 가장 적절한 것은?
① 소스 코드 분석 시 실행 시간이 매우 오래 걸린다 ② 런타임 환경에서만 나타나는 보안 취약점을 탐지할 수 없다 ③ 오픈소스 라이브러리의 취약점만 탐지 가능하다 ④ 네트워크 레벨의 보안 정책을 자동으로 생성한다
정답
2번
해설
SAST는 정적 분석 도구로 소스 코드를 실행하지 않고 분석하므로, 실제 런타임 환경에서 발생하는 동적 취약점(인증 우회, 세션 관리 오류 등)은 탐지하기 어렵다. SAST는 비교적 빠르고, 오픈소스뿐만 아니라 자체 코드의 취약점도 탐지하며, 네트워크 정책 생성 기능은 없다.