安全左移洞態IAST構建高效DevSecOps流程-魔扣目錄

飛書20210928-172310_副本.jpg

9月25日,由CNCF大使、開源意見領袖共同發起的,國內最大的獨立第三方云原生終端用戶和泛開發者社區——云原生社區,在騰訊大廈成功舉辦深圳站首屆MeetUp。

本屆MeetUp聚焦云原生,火線安全洞態產品負責人董志勇分享了“使用IAST構建高效的DevSecOps流程”,從IAST的時代需要到IAST含義,從洞態IAST的功能與實現原理到洞態IAST與DevOps的高效融合均做了詳細介紹。

01 IAST的時代需要

#安全測試是應用開發的必要環節

自2016年以來,隨著《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等相關法律相繼頒布并施行,企業安全運行能力要求不斷提高。

此外,網絡攻擊頻發也引起網絡界的關注。被勒索軟件勒索、數據泄露、服務器被入侵等在近年來出現的網絡安全問題中占據極大比例,這些都是應用本身安全性不足所導致的。

安全測試成為應用開發的必要環節。

#IAST是安全測試的最優選擇

在瀑布開發與敏捷開發時代,應用迭代速度相對較慢,企業安全團隊人員數量足夠cover住應用開發上線的測試頻率。

但隨著開發流程理念的更新,DevOps逐漸出現并成為主流。DevOps在“提高企業生產效率、實現應用迭代大加速“的同時,也帶來了“安全測試任務密度變大,待上線應用的數量與安全測試人員數量嚴重不對等”的問題。原有的安全測試手段已不合時宜,高效可靠的自動化檢測成為安全團隊的不二之選。

雖然SAST和DAST也可以承擔自動化檢測的角色,但二者都具有致命的缺點。相比之下,IAST則是不偏科,且各方面都突出的優等生。目前來說,IAST才是自動化安全檢測的最優選擇。

02 洞態IAST

IAST全稱為 “交互式應用程序安全測試” ,通過利用Agent來監控應用程序運行時的函數執行情況,采集相關數據,與服務端進行實時交互,從而高效、準確地識別出應用程序中的漏洞。同時可準確定位到漏洞所在的文件、行數、方法及參數,方便開發團隊及時修復漏洞。

洞態IAST由火線安全于9月1日正式開源發布,是全球第一款開源IAST產品。憑借高效的檢測效率、極高的檢出率、極低的誤報率、極少的臟數據以及極詳細的漏洞詳細,洞態IAST在發布之際便受到了諸多廠商的關注。

#檢測原理

作為一款創新的漏洞檢測產品,洞態IAST的技術優勢十分顯著。洞態完全基于“值匹配算法“和”污點跟蹤算法”對漏洞進行檢測。這種算法檢測準確率高,無需采集和重放流量,可以適配各種場景下的漏洞檢測(如:API網關、分布式、微服務等架構下的后端服務漏洞檢測),還不會產生臟數據,干擾正常的開發測試流程。

對于檢測發現的漏洞,洞態根據外部可控數據的傳播過程,完整的還原漏洞觸發流程,幫助DevOps團隊快速理解漏洞、定位漏洞,更好的解決漏洞。通過賦能研發人員,提高漏洞修復的效率。

和業內同類產品“重Agent端、輕服務端”的架構不同,洞態的Agent端僅用于實現數據監聽,漏洞檢測全部在服務端完成。這種方法的好處是Agent端代碼和邏輯簡單,單點故障率更低也極少需要升級,降低了維護成本。另外,傳統IAST產品對于未檢測的漏洞都在Agent端直接丟棄,產品出現新的檢測策略后,需要重新發起應用的測試,而洞態IAST將檢測數據保存在服務端,可以輕松在服務端進行回歸測試。

#洞態功能優勢

● 支持多種漏洞檢測