· IAST在应用运行时检测
首先咱们复习一下,IAST是在应用运行时同步运行的,因为插了桩,IAST在测试的过程中能够监视应用程序的实际执行和数据流,也可以读到应用运行的具体代码,这里要划一个重点,是应用运行的代码:
IAST在检测时可以覆盖到应用所有实际运行到的代码,包括应用本身的代码、库和框架、第三方组件和API。
也就是说,没有运行的代码IAST是看不到的,这也是IAST和SAST的一个明显区别。
传统的静态和动态工具没有办法覆盖库和框架,做不了SCA,而且不擅长测试API安全,这些工具无法处理复杂协议,或者架构中用来构建API的复杂数据流和控制流。
· 安全测试的覆盖范围取决于功能测试覆盖的范围
展开来说:
IAST能看到部署的每一个库和框架,IAST能精确知道库里面的哪一部分被应用真正调用,它会过滤掉没有被调用的和库相关的漏洞。
IAST做的SCA是运行时SCA,可以做运行时的组件成分分析。IAST提供的一定是内部引入并且调用的非常准确的组件。IAST也可以非常精准地定位到有风险的,需要推进修复的License组件。
在API方面, IAST可以从应用中提取相关API资产,自动地分析应用和API中的代码,梳理应用中的API资产。
最近,火线安全和Eolink宣布在API领域进行合作,火线安全将为Eolink的API管理平台打通安全测试接口,帮助用户在API开发和测试环节中及时发现和修复安全漏洞,保障API的安全性。
Eolink将为火线安全提供API管理平台的支持,帮助火线安全更好地管理和发布API,提高研发效率和运维效率。
总结一下:
IAST能准确识别常见的绝大多数漏洞,拥有高检出率和高准确率,凡是测试过程中触发的应用交互的流量都能覆盖到。
安全测试的覆盖范围取决于功能测试覆盖的范围,如果功能测试覆盖的范围全面,那么IAST的安全测试覆盖范围也会更广。
· 存量 vs 增量?
这里其实还存在另外一个存量和增量业务的问题。
现在测试团队一般只测试增量上线的业务,在新业务上线前,IAST可以用在QA、测试、CI/CD阶段实时检测,帮助研发尽早发现运行场景的漏洞,减少因漏洞检出节点滞后,而产生的跨部门推进修复效率低、周期长、人力成本高,且对敏捷开发流程造成阻塞的问题。
这种情况下,IAST的安全测试也只能覆盖增量业务。一般需要考虑对存量业务也做一次整体测试,后续IAST就可以跟着测试团队的增量业务来覆盖了。
近期评论