hello大家好,欢迎来到IAST百科全书第6期~
前两期我们单独介绍了一下国内的代表洞态IAST以及国际代表Contrast,从各种统计数据可以看出,国外的网络安全行业无论是从市场规模还是从行业成熟度来说,整体是比国内好很多的,IAST细分赛道的厂商和产品也存在一些现实差距。今天我们再一起看看国内外IAST赛道上还有哪些成员!
新思
新思Seeker在漏洞检测的准确率和误报率方面表现都非常优秀,产品成熟度很高。此外,Seeker独特的主动验证功能使其能够处理数十万 HTTP/HTTPS请求,并快速消除已识别漏洞中的误报,从而实现接近于零的误报率。从而为开发人员提供一份经过验证的漏洞风险优先级列表,这使得安全团队能够首先关注真正的、经过验证的安全漏洞。
Oxeye
Oxeye专注漏洞的可见性,强调漏洞筛选分类,关注真正最重要的3-5%的应用漏洞。
Oxeye 将 SAST、DAST 和 SCA 的功能结合到一个工具中,可以识别跨微服务的漏洞,将目光聚焦在那些可以从互联网访问并且在运行时实际加载和使用的漏洞,并过滤掉现代分布式应用程序中无法利用的漏洞,大大降低了与应用程序安全相关的工具和运营成本。
hdiv
Hdiv Security 在应用程序运行时检测已知和未知漏洞,并且可以随时标记漏洞,以便快速发现和修复关键漏洞。HDIV 在2022年8月被Datadog收购,Datadog是一家云应用程序监控和安全平台,Hdiv Security 功能的加入将使 Datadog 能够通过其云平台更好地保障应用程序的安全性。
Chekmarx
Checkmarx的IAST专门设计用于适应敏捷、DevOps和CI/CD流程,不会对软件开发生命周期(SDLC)引入任何延迟。Checkmarx的IAST与其自家的SAST等其他安全工具有良好的适配性,两个产品之间的数据和结果相互关联,漏洞定位更精准、修复速度更快。
HCL AppScan
HCL AppScan是原IBM的Rational软件部门的一组网络安全测试和监控工具,2019年被印度公司HCL科技收购。
他们主张通过组合使用SAST、DAST、IAST来提升准确率、降低误报,通过将检测结果分组管理来减少补救任务,精准处理漏洞结果。
好我们再把目光转向国内。国内比较常见的IAST主要有默安、悬镜、开源网安。这几家IAST起步都比较早,产品相对比较完整,支持的开发语言比较多。除被动插桩外,还支持主动插桩、流量代理检测,只是在实际落地的过程中还会遇到很多应用问题。
好了,以上就是常见的IAST产品的基础介绍了,那么下一期,咱们直接上手实操,安装一个开源版的洞态IAST,真正用起来吧!
近期评论