hello大家好啊,欢迎大家继续来到IAST百科全书的第4期,之前我们基本了解了IAST的一些基础知识,那么我们平常能遇到的IAST工具都有哪些呢?
国内主要的IAST工具有火线安全的洞态、默安、悬镜和开源网安的IAST,国际上主要有Contrast,checkmarx,新思,这里咱们重点讲一讲洞态和行业标杆Contrast。
洞态有开源版和商业版两个版本。开源版洞态也是目前为止全球唯一一个开源的IAST。
(漏洞质量高)
开源版的洞态支持Owasp Top 10等常见类型的通用Web漏洞检测,官方支持Java检测,由洞态开源社区提供Python、PHP和Go的探针,漏洞检测质量很高。
(二开自由度高兼容强)
开源意味着洞态的所有源码和检测规则都是全开放的,用户可以根据自己实际的使用需求来进行自定义,有能力的企业用户也可以在这个基础上进行二次开发。一些互联网大厂对洞态做了二开,而且使用效果还不错。
(简单易用,核心能力稳定)
洞态整个安装部署过程都比较简单,界面也比较简洁,对于开发者和安全测试人员来说都非常好上手。洞态的核心架构/采集与分析引擎分离在开源版就有提供,这个架构下的核心能力很稳定,agent不用怎么维护也可以保障正常使用。
(即时输出漏洞详情)
在今年5月更新的最新版本中,洞态开源版也支持了对接黑盒检测的能力,方便用户对漏洞检测结果进行交叉验证。灰盒的检测都是实时的,检测完成后可以即时输出漏洞详情,时间成本很低。
对IAST感兴趣的同学,也可以随时在github上获取到开源版的洞态,以后我也会单独出一期视频讲解洞态的安装和使用。
洞态商业版在开源版的基础上功能更进一步,漏洞覆盖面更广,性能更稳定故障率更低。
洞态商业版新增了全链路漏洞检测、商业级组件漏洞库、开源许可证分析、CI/CD系统集成等更强大的功能,在漏洞详情的基础上还提供了修复建议与完整的漏洞报告,支持微服务链路追踪,可以有效帮助企业降低漏洞发现成本,提高检测和修复的效率。
简单来说,商业版完善了接入DevSecOps流程的能力,检测能力更强,更适合企业用户使用。
好,今天给大家简要介绍了洞态开源和商业两个版本,对洞态的二开改造和落地实践案例感兴趣的小伙伴,可以扫描这个二维码,看看洞态IAST的落地实践案例。
下期节目,我们聊聊IAST行业标杆Contrast。
近期评论