SAST (Static Application Security Testing) analysiert den Quellcode einer Anwendung auf Sicherheitsschwachstellen, ohne ihn auszuführen. Typische Funde sind SQL-Injection, Cross-Site Scripting, hartcodierte Passwörter und unsichere Kryptographie-Aufrufe. SAST lässt sich früh in der Entwicklungspipeline integrieren — idealerweise als Teil der CI/CD-Pipeline. Du erhältst dadurch Feedback noch während der Entwicklung, was die Behebungskosten deutlich senkt. Im ISMS ist SAST eine Kontrolle für sichere Softwareentwicklung gemäß ISO 27001 Annex A 8.25. Kombiniert mit DAST deckst Du sowohl statische als auch dynamische Schwachstellen ab.