IAST百科全书

2023年9月7日

IAST百科全书第16期:IAST与RASP的区别

RASP和IAST一样,也需要通过在应用程序中安装agent,这是他们比较类似的地方。

不同之处在于agent的使用方式。 IAST工具在应用上线前查找安全漏洞,agent是插桩在测试环境的,而RASP会监视应用程序是否存在攻击,并在检测到攻击发生的时候拦截攻击,保护应用程序,agent是插桩在生产环境的。

进一步了解
2023年8月10日

IAST百科全书 第13期:关于IAST的检测覆盖范围,一次说清

IAST在检测时可以覆盖到应用所有实际运行到的代码,包括应用本身的代码、库和框架、第三方组件和API。也就是说,没有运行的代码IAST是看不到的,这也是IAST和SAST的一个明显区别。
传统的静态和动态工具没有办法覆盖库和框架,做不了SCA,而且不擅长测试API安全,这些工具无法处理复杂协议,或者架构中用来构建API的复杂数据流和控制流。

进一步了解