默安雳鉴IAST获2021网信自主创新优秀产品“盘古奖” – 作者:默安科技

近日，由关键信息基础设施技术创新联盟、信息安全等级保护关键技术国家工程实验室、《网信自主创新调研报告》编委会联合主办的2021网信自主创新优秀产品、解决方案评选活动公布评选结果。默安科技的雳鉴IAST交互式应用安全检测系统荣获“盘古奖”（优秀产品之技术创新奖）。

本次网信自主创新优秀产品、解决方案的评选旨在进一步促进网信成果尽快转化为生产力，解决核心技术和供应链受制于人的问题，为重点行业网络安全和信息化建设提供决策参考。

1 颁奖活动暨第二届中国I²S峰会

2 中国工程院沈昌祥院士为默安科技代表颁奖

评选活动发布以来，得到了众多网信企业和高校的高度关注，共有400多家单位近500个项目参与评选，最终100个项目入选。经过专家量化打分和评议，默安科技的IAST产品被选为优秀产品之技术创新奖。

默安科技的IAST是雳鉴·软件开发全流程安全框架中，用于测试阶段的安全产品。采用代码数据流与请求结合进行漏洞检测的模式，融合SAST（白盒/静态安全测试）和DAST（黑盒/动态安全测试）的优势，帮助企业建立自主可控的应用安全测试能力。

雳鉴IAST“新”在哪儿？

系统漏洞检测全面

通过多种流量收集方式确保接口获取的全面性和数据的准确性，极大降低漏洞漏报率；通过插桩方式达到近乎0误报的检测效果，并支持检测加密、验证码等场景；除系统漏洞外，还支持检测逻辑漏洞。

支持检测业务逻辑漏洞

首创业务模型学习算法，帮助引擎理解常见的业务逻辑，支持水平权限、垂直权限、验证码相关、用户枚举等业务逻辑漏洞的检测，误报率低，帮助用户解决常见的业务安全问题。

相关阅读：如何解“逻辑漏洞检测”难题？

支持检测个人隐私数据泄露风险

雳鉴IAST遵循GDPR、PCI-DSS国际标准以及《个人信息保护法（草案）》等，支持对应用中存在的不合规的个人隐私数据处理行为进行检测，可以解决标准中规定的身份信息、密码等信息产生的隐私数据泄露问题，帮助用户迅速定位存在隐私泄露风险的漏洞地址和代码位置。

相关阅读：从开发源头降低个人信息泄露风险

对软件成分的风险管理

雳鉴IAST可以帮助用户梳理项目中的第三方组件使用情况、使用频率、使用广度，并进行可视化展示，将第三方组件风险分为是否最新版本、安全漏洞风险、开源许可证风险三类，帮助用户完全掌握第三方组件的安全风险，提供风险修复方案。

相关阅读：第三方组件存在哪些风险？

与测试工作深度融合 安全介入无感知

雳鉴IAST流量收集及插桩收集方式均不会对测试人员的测试工作产生任何影响，测试人员只需要进行正常功能测试的同时系统会自动进行安全性测试，真正做到无感知。

支持DevOps开发模式

雳鉴IAST提供Jenkins插件，可与CI/CD平台集成，通过API全自动化完成功能，又可通过插桩收集模块和流量收集模块，与DevOps中的自动化测试阶段融合，收集自动化验证脚本产生的流量和代码数据流，在Jenkins中简单配置即可在Jenkins中进行安全测试，并在Jenkins页面查看结果，实现DevSecOps的落地。

相关阅读：《DevSecOps能力指南》

安全风险闭环管理

提供漏洞发现、漏洞确认、漏洞详情、漏洞忽略、漏洞修复、漏洞重检等功能，覆盖漏洞生命周期每个阶段，并提供漏洞描述、修复建议、代码示例、程序控制流、漏洞代码详情等帮助研发人员排查问题和修复漏洞。

关键信息基础设施技术创新联盟

关键信息基础设施是国家重要的战略资源，是网络安全的重中之重。

为打造关键信息基础设施保护的协同创新和资源整合平台，中国信息安全认证中心、国家信息技术安全研究中心、国家信息中心、国家互联网应急中心等单位于2017年，联合发起成立中国关键信息基础设施技术创新联盟。2018年，默安科技成为联盟单位，积极发挥自身优势、展开合作。

来源：freebuf.com 2021-06-25 11:54:01 by: 默安科技