Static Application Security Testing (SAST) is een geautomatiseerde techniek die broncode, bytecode of binaire code analyseert om beveiligingskwetsbaarheden te identificeren zonder de applicatie uit te voeren. SAST-tools scannen op veelvoorkomende zwakheden zoals SQL-injectie, cross-site scripting, bufferoverflows en onveilig cryptografisch gebruik, en worden doorgaans geïntegreerd in de ontwikkelpipeline als onderdeel van een shift-left beveiligingsstrategie.
Door kwetsbaarheden vroeg in de ontwikkelcyclus op te sporen, verlaagt SAST de kosten en inspanning van remediatie aanzienlijk vergeleken met het ontdekken van problemen in productie. Voor optimale dekking combineren organisaties SAST vaak met dynamische testmethoden en handmatige codereviews, waardoor een uitgebreid applicatiebeveiligingsprogramma ontstaat dat voldoet aan compliancevereisten onder normen als ISO 27001 en SOC 2.