本文内容来源于:翻译IDC报告《IDC TechBrief: Interactive Application Security Testing》部分内容。 作者将会持续连载,敬请关注后续更新。
图1 交互式应用程序安全测试简介
资料来源:IDC,2022年
图2 交互式应用程序安全测试:实施描述
资料来源:IDC,2022年
各行各业的组织越来越多地转向用软件来交付优质的业务成果。软件必须是数字化创新的,以驱动内部效率,从而在竞争中拥有显著的差异点,或者为客户提供具有突破性的功能。在这种趋势下,软件通常是内部开发的(而不是购买现成的)。
由于这些新应用程序日益复杂和DevOps开发的速度逐渐上升,用更传统的应用程序安全方法来保护它们是困难的。攻击者已经注意到并正在使用应用程序作为他们选择的攻击面。本IDC技术简报探讨了,使用交互式应用程序安全测试(IAST)来降低用DevSecOps保护应用程序和API的安全风险和复杂性的优势。
IAST是一种自动识别和诊断应用程序和API中的软件漏洞的技术。与常用的DevSecOps工具不同,如静态应用程序安全测试 (SAST) 和动态应用程序安全测试 (DAST) ,IAST不是一个扫描器。相反,IAST 直接从运行的代码中收集安全信息和数据,而不是扫描源代码(SAST)或 HTTP 扫描(DAST)。IAST 工具分析web 应用程序的源代码,在其运行时对其进行跟踪,以较低的误报率识别漏洞。
IAST 工具在整个开发生命周期中持续监控应用程序的漏洞。因为IAST可以访问正在运行的代码,所以它可以对每一行代码执行类似 SAST 的检查。此外, 由于 IAST 可以访问 HTTP 流量,因此它可以对每个请求和响应执行类似 DAST 的分析。因此,IAST 通常被认为是 SAST 和 DAST 安全扫描工具的合集,因为它具有正在运行的应用程序和技术堆栈中的所有移动部件的视图。
以下是IAST、SAST和DAST安全测试解决方案的比较:
测试技术
· IAST使用灰盒测试。
· SAST使用白盒测试。
· DAST使用黑盒测试。
安全发现的准确性
· IAST非常准确。
· SAST是中等准确的。
· DAST的准确性往往较低。
应用程序代码覆盖范围
· IAST允许调整测试代码的覆盖率。
· SAST因扫描程序和应用程序源代码而不同。
· DAST的应用程序代码覆盖率较低。
运行和部署所需的专业知识
· IAST需要较低的工具和安全专业知识。
· SAST和DAST需要更高的工具和安全专业知识。
查看安全结果
· IAST的安全结果可以被实时查看。
· 在扫描完成后,可以访问SAST和DAST的结果。
检查应用结果
· IAST包括运行时代码、HTTP请求和库。
· SAST在存储库中包含了应用程序的源代码。
· DAST检查HTTP请求。
安全发现的提示
· IAST将包括源代码行和相关的URL。
· SAST提供了受影响的源代码行。
· DAST将提供一个URL和HTTP请求。
本文内容来源于:翻译IDC报告《IDC TechBrief: Interactive Application Security Testing》部分内容。 作者将会持续连载,敬请关注后续更新。
近期评论