Hello大家好,欢迎来到新一期IAST百科全书,这期咱们只讲Contrast。
Contrast是一家美国公司,目前在Gartner公布的AST领域魔力象限中处于“远见者”领域,他们最早实现了在开发人员编写代码时自动检测漏洞,消除误报,并提供修复指南,这是通过在软件中直接嵌入代码实现的,其实这就是插桩技术了。事实上,Contrast是最早将插桩技术引入IAST领域的公司,是这个领域的开创者。
前面我们说过,IAST的检测方式有流量型、主动插桩和被动插桩,但是Contrast选择只采用被动插桩,因为被动插桩可以实时检测漏洞,并且不会产生脏数据,让开发者完全无感,这和洞态选择被动插桩的原因是一致的。
插桩是依赖编程语言本身的,Contrast Assess提供了最广泛的插桩语言覆盖,包括Java,. NET,Node.js,Ruby,Python和Golang,它可以提供持续的漏洞评估,也可以与现有软件开发生命周期(SDLC)流程无缝集成。
根据Contrast官网的资料,Contrast Assess主要有3个最主要的功能:
- 动态安全评估:使用Contrast Assess可以进行动态安全评估,这是一种实时的应用程序安全测试方法。通过动态评估,你可以不断监测应用程序的安全性,并及时发现潜在的漏洞和威胁。
- 自动化漏洞检测和修复:Contrast Assess提供了自动化的漏洞检测和修复功能。它能够自动扫描你的应用程序,并识别出潜在的安全漏洞。
- 实时威胁情报和报告:Contrast Assess提供实时的威胁情报和报告功能,帮助你及时了解应用程序的安全状态。这可以帮助你追踪潜在的攻击活动,并采取相应的措施来防止和减轻威胁。
Contrast Assess监视与终端点的所有正常交互,并在可以在一个界面上清晰展示所有存在的漏洞,这点对使用者来说还是很友好的。这让开发和安全团队能够从应用程序内部实时检测漏洞,通过实时结果,开发和安全团队可以一起检查发现的问题,实现即时的反馈循环。这有助于将组织的MTTR,也就是平均漏洞修复时间,从2个月缩短到8天。帮助企业在安全隐患成为更大的实质性威胁之前解决它们。
和国内一样,国外也面临着安全专家短缺的问题。Contrast一般将Contrast Assess和其他安全工具,比如Contrast OSS、Contrast Protect、Contrast DevSecOps Control Center打包在一起,形成了一个Contrast安全代码平台。
通过这个平台,安全团队可以减少所需的工具数量,降低对安全专家数量的需求,从而降低安全运营的总体拥有成本(TCO)。
那Contrast先讲到这里,我们下期节目不见不散~
近期评论