IAST.IO

Contrast是一家美国公司，目前在Gartner公布的AST领域魔力象限中处于“远见者”领域，他们最早实现了在开发人员编写代码时自动检测漏洞，消除误报，并提供修复指南，这是通过在软件中直接嵌入代码实现的，其实这就是插桩技术了。事实上，Contrast是最早将插桩技术引入IAST领域的公司，是这个领域的开创者。

国内主要的IAST工具有火线安全的洞态、默安、悬镜和开源网安的IAST，国际上主要有Contrast，checkmarx，新思，这里咱们重点讲一讲洞态和行业标杆Contrast。洞态有开源版和商业版两个版本。开源版洞态也是目前为止全球唯一一个开源的IAST。

IAST全称交互式应用安全测试，Interactive Application Security Testing，它与白盒SAST（静态应用程序安全测试）和黑盒DAST（动态应用程序安全测试）是三种不同类型的应用程序安全测试方法，它们在安全测试的方式、时机、适用场景等方面存在一些区别。

IAST是在应用程序运行的过程中，监控和收集信息，并且根据这些信息来判断应用是否存在漏洞和风险。IAST获取这些信息有很多种模式，一般来说有代理模式、流量镜像模式，插桩模式等，其中插桩模式是最重要、最常见的检测模式。

与IAST相似的产品主要有SAST白盒、DAST黑盒。IAST能够在应用实际运行的过程中检测到漏洞，具备了黑盒中检测结果准确的特征；同时，IAST通过污点跟踪算法来进行漏洞检测，所以检测结果也具备了白盒的全面性特点。