hello大家好，欢迎来到IAST百科全书第14期。

随着现代应用和APP的持续发展，它们的功能和模块不断变得更加复杂，开发者们引入了第三方组件和微服务等创新技术。

这些不同的组件和微服务之间需要通过API进行通信和互相调用，这种依赖关系也随着应用数量和复杂程度的增加而变得更为频繁。

然而，这也导致了一个问题，许多企业难以准确地追踪自己使用了多少个API，更不用说有效地对这些API进行管理，以规避潜在的API安全问题了。

借助IAST工具，我们可以有效地进行API接口的统计和梳理，从而帮助企业实现对API的规范化管理。那么，IAST工具是如何实现API梳理的呢？

IAST采用了插桩技术，这种技术天然适用于跨服务和微服务的环境。在插桩之后，IAST可以在应用运行时捕获到所有交互数据，其中当然也包括了API数据。

IAST通过分析应用运行过程中调用的API，可以从应用中提取与API相关的信息，然后自动对应用和API的代码进行分析，从而完成对API资产的梳理工作。

根据我们目前的经验，IAST实现API发现主要有两种方式：

01 框架分析

首先是框架分析。这种方法基于应用中已有的标准方法，在程序运行时，IAST会读取API，并调用框架中的接口定义方法。

通过这些已有的框架方法，IAST可以获取程序中的API资产。

目前，洞态已经支持对springboot、springMVC和dubbo框架中的API进行收集。通过解析字节码的结果，洞态能够识别出Java类和方法中所包含的API，并从中获取全量的API接口信息。

02 Agent流量分析

另一种方法是Agent流量分析。通过在插桩后的Agent收集测试过程中使用到的API信息，IAST可以持续监控和分析发送到应用的流量，从而更深入地梳理应用接口的资产清单。

最后，IAST会从多种渠道获得的数据进行对比和分析，最终完成对API的梳理工作，帮助企业更好地管理和保障API的安全性。

好了，今天的IAST百科全书就到这里~

关于IAST的更多落地实践

可以扫码看看洞态IAST的落地实践案例