静的アプリケーションセキュリティテスト（SAST）（SAST）

SAST（Static Application Security Testing）とは、ひとことで言えば、アプリケーションのソースコードやバイナリを実行せずに静的に解析し、セキュリティ上の脆弱性を検出する手法です。たとえば、SQLインジェクションやXSSにつながるコードパターンを、CI/CDパイプラインの中でコミットのたびに自動スキャンし、開発者にフィードバックします。コードを実行しないため開発の早い段階（シフトレフト）で脆弱性を発見でき、修正コストを低減できます。一方で、誤検知（偽陽性）が多い傾向があり、実行時の文脈に依存する脆弱性は見つけにくいという限界があります。DAST（動的テスト）と組み合わせることで、静的・動的両面からの網羅的な脆弱性検出が可能になります。