随着国家和企业对网络安全的重视,企业内部对于自身产品都希望能在系统开发初期发现其系统安全问题,快速定位应用漏洞并修复,从源头减少开发过程中的系统漏洞数量,并且整个过程最好能集成到整个软件生命周期中。为了解决这些问题,IAST技术应运而生,并逐渐受到行业关注。
一、什么是IAST
IAST是交互式应用程序安全测试(Interactive Application Security Testing),是一个在应用和API中自动化识别和诊断软件漏洞的技术。通过插桩技术(Instrumented)收集安全信息,持续地从内部运行的代码中发现其安全及逻辑问题,提供实时的报警展示。在整个软件开发生命周期中,可以在开发与测试阶段中使用IAST工具。
由于IAST 是一种应用程序运行时的漏洞检测技术,所以它具备了 DAST 中检测结果准确的特征;此外,IAST 采集到的数据在方法内部的流动后,通过污点跟踪算法来进行漏洞检测,用算法来进行漏洞检测,所以检测结果也具备了 SAST 中全面性的特征。同时因为 IAST 安装在应用程序内部,安全人员可以拿到类似于源码级漏洞报告,这种漏洞结果可以方便开发人员进行漏洞修复,从这些优点来看,IAST可以很好地解决在 DevSecOps 流程中的痛点和难点。
二、IAST核心能力
IAST 本质是做漏洞检测,其核心能力主要包括四点:
1、实时的漏洞检测,IAST可以访问代码、HTTP流量及许多其它的安全信息资源,它能解决一个宽范围的漏洞并保证不影响DevOps 的原有效率。
2、梳理第三方组件和漏洞检测,保证应用避免供应链攻击。
3、灵活的漏洞检测逻辑,让用户在使用内置检测逻辑的同时,便于配置出具有业务属性的特定检测逻辑来做业务层面的漏洞检测。
4、极低的运营成本,IAST 在企业内部使用时,需要持续运营,当出现了IAST 没有覆盖到的漏洞情况时,可以用最低的成本来完善检测策略和检测逻辑,保证漏洞的检出。
IAST 可识别正在运行的应用程序中的安全漏洞,为开发人员提供相关的代码行和上下文修复建议,帮助开发人员在 Web 应用程序投入生产之前快速发现并修复安全漏洞,从而降低导致数据泄露的安全攻击风险。
三、几款国内外IAST产品
对国内外的IAST相关产品公司进行查询,内容如下:
国内外IAST表格
四、总结
交互式应用安全测试(IAST)是近几年来的新型技术,可以高效地帮助企业在DevOps阶段解决漏洞。相较于传统的SAST和DAST,IAST精准度更高,获取信息更全面,目前也有开源的IAST很值得尝试,期待厂商们后续能更加创新,提高企业安全防护能力。
来源:【鹏信科技】微信公众号
网友评论