隨著國家和企業(yè)對網絡安全的重視竖独,企業(yè)內部對于自身產品都希望能在系統(tǒng)開發(fā)初期發(fā)現(xiàn)其系統(tǒng)安全問題,快速定位應用漏洞并修復社露,從源頭減少開發(fā)過程中的系統(tǒng)漏洞數(shù)量讯泣,并且整個過程最好能集成到整個軟件生命周期中。為了解決這些問題嫁艇,IAST技術應運而生朗伶,并逐漸受到行業(yè)關注。
一裳仆、什么是IAST
IAST是交互式應用程序安全測試(Interactive Application Security Testing)腕让,是一個在應用和API中自動化識別和診斷軟件漏洞的技術。通過插樁技術(Instrumented)收集安全信息歧斟,持續(xù)地從內部運行的代碼中發(fā)現(xiàn)其安全及邏輯問題纯丸,提供實時的報警展示。在整個軟件開發(fā)生命周期中静袖,可以在開發(fā)與測試階段中使用IAST工具觉鼻。
由于IAST 是一種應用程序運行時的漏洞檢測技術,所以它具備了 DAST 中檢測結果準確的特征队橙;此外坠陈,IAST 采集到的數(shù)據在方法內部的流動后萨惑,通過污點跟蹤算法來進行漏洞檢測,用算法來進行漏洞檢測仇矾,所以檢測結果也具備了 SAST 中全面性的特征庸蔼。同時因為 IAST 安裝在應用程序內部,安全人員可以拿到類似于源碼級漏洞報告贮匕,這種漏洞結果可以方便開發(fā)人員進行漏洞修復姐仅,從這些優(yōu)點來看,IAST可以很好地解決在 DevSecOps 流程中的痛點和難點刻盐。
二掏膏、IAST核心能力
IAST 本質是做漏洞檢測,其核心能力主要包括四點:
1敦锌、實時的漏洞檢測馒疹,IAST可以訪問代碼、HTTP流量及許多其它的安全信息資源乙墙,它能解決一個寬范圍的漏洞并保證不影響DevOps 的原有效率颖变。
2、梳理第三方組件和漏洞檢測听想,保證應用避免供應鏈攻擊悼做。
3、靈活的漏洞檢測邏輯哗魂,讓用戶在使用內置檢測邏輯的同時,便于配置出具有業(yè)務屬性的特定檢測邏輯來做業(yè)務層面的漏洞檢測漓雅。
4录别、極低的運營成本,IAST 在企業(yè)內部使用時邻吞,需要持續(xù)運營组题,當出現(xiàn)了IAST 沒有覆蓋到的漏洞情況時,可以用最低的成本來完善檢測策略和檢測邏輯抱冷,保證漏洞的檢出崔列。
IAST 可識別正在運行的應用程序中的安全漏洞,為開發(fā)人員提供相關的代碼行和上下文修復建議旺遮,幫助開發(fā)人員在 Web 應用程序投入生產之前快速發(fā)現(xiàn)并修復安全漏洞赵讯,從而降低導致數(shù)據泄露的安全攻擊風險。
三耿眉、幾款國內外IAST產品
對國內外的IAST相關產品公司進行查詢边翼,內容如下:
四、總結
交互式應用安全測試(IAST)是近幾年來的新型技術鸣剪,可以高效地幫助企業(yè)在DevOps階段解決漏洞组底。相較于傳統(tǒng)的SAST和DAST丈积,IAST精準度更高,獲取信息更全面债鸡,目前也有開源的IAST很值得嘗試江滨,期待廠商們后續(xù)能更加創(chuàng)新,提高企業(yè)安全防護能力厌均。
來源:【鵬信科技】微信公眾號
