产品FAQ系列 | 默安雳鉴IAST的5个高频问题 – 作者:默安科技

引言

为了让现有和潜在客户更加详细地了解产品和服务，默安科技推出FAQ系列文章，总结常见问题，为各位答疑解惑。

雳鉴IAST自面市以来，也受到了广大客户的关注，本篇FAQ主要从产品优势、应用场景、客户案例、客户体验等方面展开。

IAST是什么？

目前市场上常见且应用普遍的应用安全测试技术主要包括SAST（白盒）、DAST（黑盒）和IAST（灰盒）。

SAST通过分析源码实时发现应用问题，但存在误报高、扫描时间长、无法直接确定漏洞可利用性等问题。

DAST通过爬虫和攻击行为模拟的方式发现应用风险，但存在测试场景有限、干扰正常测试、无法定位漏洞具体代码位置等局限。

而IAST技术的出现，很好地弥合了SAST与DAST的缺陷。IAST（交互式扫描）是一种实时动态交互的漏洞检测技术，应用于软件开发的测试阶段，通过在被测系统的服务端部署agent程序，收集、监控web应用程序运行时函数执行、数据传输，并与扫描器端实时交互，漏洞检出率高、误报率低，测试过程无感知，可定位API接口和代码片段。

默安雳鉴IAST基于请求和代码数据流两种技术的融合架构，汲取SAST与DAST优点，在测试阶段无缝集成，高效、准确地检测应用自身安全风险，为应用系统上线前提供安全保障。

雳鉴IAST包含哪些主要优势？

除了IAST技术本身优势，默安雳鉴IAST还结合客户场景，实现了更多的技术创新：

支持发现个人隐私数据泄露风险

遵循《个人信息保护法（草案）》、 欧盟《通用数据保护条例（GDPR）》、《支付卡行业数据安全标准（PCI DSS）》等法规标准，支持对应用中不合规的个人隐私数据处理行为进行检测，迅速定位存在隐私泄露风险的漏洞地址和代码位置，帮助开发人员快速定位和复现问题。

对DevOps模式友好度高

雳鉴IAST通过开放接口，与DevOps中的自动化测试阶段融合，轻松集成Jenkins等CI/CD平台，让客户在CI/CD平台中进行安全测试、跟踪结果，并支持与JIRA、禅道等项目管理平台集成，实现漏洞的持续跟踪和闭环管理，保证开发效率的同时，提升软件自身安全；还可根据安全检测结果，管控开发流程，确保最终交付应用的安全质量。

分析第三方组件的安全风险

雳鉴IAST基于插桩AGENT，帮客户梳理项目中的第三方组件使用情况、使用频率，分析获取项目中所有引用到的第三方组件；

IAST中的软件成分风险分析引擎将对第三方组件的版本风险、安全漏洞、开源许可证风险进行评估，帮客户完全掌握第三方组件的安全风险并提供修复方案。

支持检测Dubbo等分布式框架

现在业务应用逐渐向微服务架构设计方向过渡，国内常见的微服务框架包括Dubbo、SpringCloud。

黑盒扫描器只能判断是否存在漏洞，但无法确定出现漏洞的具体位置；传统灰盒扫描器可判断出出现漏洞的位置但无法定位到漏洞出现的具体参数和传播流程。

雳鉴IAST通过适配不同的微服务框架，如在全部微服务节点安装插桩Agent，则可直观展示漏洞参数在请求中的位置、漏洞参数的传播路径、出现漏洞的代码位置；如在部分微服务节点安装插桩Agent，则可展示漏洞的代码位置。

全量API接口自动发现

功能测试覆盖率，是评价测试完整性的重要度量标准之一。在传统安全测试领域也存在譬如通过爬虫方法获取接口覆盖率的技术，但这种技术存在天然缺陷，比如在前后端分离应用中无法较好获取到全量的开放接口。

雳鉴IAST API自动发现技术完美解决了传统技术的弊端，通过依靠运行在应用内部的插桩Agent，稳定、高效地获取应用对外的API接口。客户可在雳鉴服务端直观查看所有接口，以及已测试和下一步需测试的接口列表，做到安全测试有条不紊、心中有数。

过滤函数自动发现

被动插桩中出现“误报”的一个主要原因是Agent不认识客户企业内部自定义的过滤函数，导致安全人员需花费精力排查“误报”原因、定位过滤函数位置。

雳鉴IAST通过内置的过滤函数发现引擎自动发现应用内部疑似的过滤函数，并一键配置到系统中作为内置规则应用，让扫描器在漏洞检测的过程中不断学习每个企业内部的安全策略，提升产品与企业的贴合度。

雳鉴IAST有哪些应用场景？

SDL安全开发生命周期建设需求

雳鉴IAST在系统开发的测试阶段，快速建立内部安全众测模式，并提供逻辑漏洞自动化扫描，与雳鉴SAST联动完成漏洞修复。

构建DevSecOps

通过与Jenkins以及Jira、禅道的无缝集成，将软件开发安全流程从线下人工转移到线上自动，覆盖所有API接口，自动化编排，降低安全测试成本，对业务无影响。

API/APP安全解决方案

API/APP安全普遍存在难发现、数据类型复杂、过度依赖人员专业程度等难点，雳鉴IAST能够自动发现API接口，并对API中的各个参数和请求Headers变换攻击载荷进行安全测试，支持检测的漏洞类型丰富。

管控个人隐私泄露风险

如何保护客户个人信息，赢得广大互联网客户的信赖，同时规避监管日益严格的合规风险，是企事业单位网络安全工作的重中之重。雳鉴IAST能够自动发现隐私数据泄露问题，从开发源头降低个人信息泄露风险。

雳鉴IAST有哪些客户案例？

雳鉴IAST自上市以来在政府、央企、银行、保险、证券、制造、房产、互联网等多个行业成功应用。

                                                                 （排名不分先后）

雳鉴IAST的客户体验与评价如何？

客户体验总结为以下4点：

(1) 测试实现模式多样，可根据目标系统和环境实际状况灵活选择检测模式，如插桩、代理、流量镜像模式等；

(2) 可快速实现定制化功能，需求匹配度高；

(3) 售后服务完善，响应及时；

(4) 亮点功能突出，市场口碑优异。

“与默安科技的合作整体愉快，服务专业，响应及时。默安方案自带全面的工具链，也能提供周到的服务。在整个开发安全项目建设过程中，很多项目组的成员反映很有参与感，但对原有工作的影响又非常小。非常感谢默安团队，期待后续更深入的合作！”

——德比软件架构与基础设施副总裁

默安科技的DevSecOps解决方案协助我们完成了从0到1的开发安全体系建设，不仅满足了网络安全法、等保2.0等法规标准的要求，降低了业务上线后的安全合规风险，同时默安的安全工具还能与Pipeline流水线无缝对接，执行自动扫描，提前发现并处置了大量安全漏洞，提升漏洞修复效率，缓解了业务上线后的安全运维压力。”

——某制造企业CISO

来源：freebuf.com 2021-07-02 10:25:31 by: 默安科技