2023年10月12日
IAST百科全书
2023年9月7日
IAST百科全书第16期:IAST与RASP的区别
RASP和IAST一样,也需要通过在应用程序中安装agent,这是他们比较类似的地方。
不同之处在于agent的使用方式。 IAST工具在应用上线前查找安全漏洞,agent是插桩在测试环境的,而RASP会监视应用程序是否存在攻击,并在检测到攻击发生的时候拦截攻击,保护应用程序,agent是插桩在生产环境的。
2023年8月31日
IAST百科全书第15期:什么是运行时SCA?IAST如何做到?
SCA工具在检测后一般都会提供一个详细的清单,列出被检测目标的所有依赖组件的 名称版本、位置以及依赖关系。更进一步的,还会识别出依赖组件的许可证类型、包含的已知漏洞、缺陷并能够提供修复建议。
2023年8月17日
2023年8月10日
IAST百科全书 第13期:关于IAST的检测覆盖范围,一次说清
IAST在检测时可以覆盖到应用所有实际运行到的代码,包括应用本身的代码、库和框架、第三方组件和API。也就是说,没有运行的代码IAST是看不到的,这也是IAST和SAST的一个明显区别。
传统的静态和动态工具没有办法覆盖库和框架,做不了SCA,而且不擅长测试API安全,这些工具无法处理复杂协议,或者架构中用来构建API的复杂数据流和控制流。
近期评论