Hi 大家好,欢迎大家来到最新一期的IAST百科全书小课堂,前两期我们简单介绍了IAST是什么,以及它的工作原理,那么,IAST和其他安全工具比如白盒、黑盒有什么区别呢?
IAST全称交互式应用安全测试,Interactive Application Security Testing,它与白盒SAST(静态应用程序安全测试)和黑盒DAST(动态应用程序安全测试)是三种不同类型的应用程序安全测试方法,它们在安全测试的方式、时机、适用场景等方面存在一些区别。
白盒和黑盒是传统上最常用的应用安全测试工具,白盒是在应用程序的源代码或二进制代码级别进行静态代码分析,检测源代码中的安全漏洞,但是可能会产生较高的误报率,需要通过规则优化或人工验证的方式消除误报。黑盒是在应用程序外部模拟黑客攻击,并检测应用程序运行时的漏洞,具有较高的真实性,但是会产生脏数据,并且无法访问源代码,存在一定的漏报。
如今随着DevSecOps等敏捷开发模式的迅速发展,应用程序的开发过程更短了、迭代速度更快了,应用程序安全测试的速度与效率也必须跟上开发速度的进步。IAST通过插桩,可以存在于应用程序的内部,在应用程序运行时就可以自动触发安全测试,监视应用程序的行为、检测潜在的安全漏洞并且能够实时反馈结果,不论应用程序是自动还是手动启动的,都可以触发。
IAST可以访问到部分的源代码,又是在应用的运行中进行漏洞检测,所以它可以精确定位到代码行,实现较低的误报率和较高的检出率。需要注意的是,任何的插桩行为都可能对应用程序的性能和资源消耗产生一定影响,使用IAST时需要同步监视和检测,或者加入熔断机制以保障业务的正常运行。
IAST是最契合当今DevSecOps模式的应用安全测试工具,并且通过与白盒或黑盒联动,可以实现更强大的功能与更大的价值。
好,谢谢大家又一次看完了IAST百科全书的小课堂,下周IAST百科全书第4期,给大家介绍一下常见的IAST工具有哪些。
近期评论