同程旅行是最先部署洞態 IAST 的企業之一。在未部署 IAST 前,同程旅行的漏洞檢測修復速度一定程度上拖慢了應用更新迭代的進度,急需一款高效的自動化漏洞檢測工具來提升安全能力。經過一系列的調研與考察,我們感嘆于洞態 IAST 強大的檢測能力和優越的兼容性,最終選定洞態 IAST 作為自動化漏洞檢測的主力工具,整個部署調優的過程也得到了洞態團隊的全力支持。以下為同程旅行的 IAST落地實踐:
01 安全困境
隨著敏捷開發和 DevOps 在同程軟件開發上的應用,軟件開發明顯提效增速,但也給安全部門帶來了較大壓力。在這一背景下,同程面臨著以下問題:
•SAST、DAST、人工滲透測試、人工代碼審計無法跟上軟件開發的速度與規模
•針對框架結構復雜的接口,一般測試無法完全復現過程中的交互流量
在這一困境下,安全如何更好地嵌入應用開發流程?
同程給出的答案是:安全需要具備 “簡單、快捷、持續” 的特性,主動去適應敏捷開發和DevOps。
02 自動化漏洞檢測工具調研
在自動化漏洞檢測工具調研過程中,我們首先對 SAST、DAST 和 IAST 進行了對比。綜合比較來看,IAST 明顯優于 SAST 和 DAST。
針對 IAST 的專項調研,其實我們率先考慮的是采用商用型還是開源型。促使我們選擇開源型 IAST 的主要原因在于開源型工具可針對自身業務場景進行二次開發,此時,洞態 IAST 已進入我們的考察視野中,并最終決定采用。
洞態 IAST 調研結果:
1. 領先的技術架構
2. 強大的檢測能力
• API 檢測全面覆蓋
• 自動化漏洞驗證
3. 開源項目
• 活躍的開源社區,可持續貢獻安全策略
• 企業可進行二次開發,效率更高,且更貼合自身業務場景• 部署使用成本低
03 同程 IAST 落地推廣
1. 部署架構
IAST 是基于同程內部的自動化構建平臺進行的部署,這種部署不同于 K8s、CI/CD 集成部署。在容器平臺上,對 Web、WebAPI、Engine、OpenAPI 四部分進行分開部署。而 OpenAPI 作為 Agent 的 Server,可在流量較大時,啟動自適應功能,從而使容器自動擴容。
2. Agent 安裝
• 自動化部署平臺:構建 dockerfile 中添加 Agent 部署的邏輯• 非自動化部署平臺:用戶(測試人員)下載 Agent,根據 pid 主動安裝
3. IAST 測試
• 調研公司內部環境兼容性
4. IAST 推廣
當 IAST 的部署和測試的流程完畢后,安全部門的動作應是讓業務接受并樂于使用 IAST,讓 IAST 真正運行起來。
Ⅰ. 發揮安全的主動性,主動貼合業務流程
• 培訓和文章推廣:在公司內部開展周期性的安全培訓和安全發文,介紹 IAST• 根據發現的安全事件,主動推動和提供給業務線安全能力• 與測試團隊合作,推動 SDL 安全能力融入測試流程Ⅱ. IAST 場景應用探索——產品上線前的測試流程• 測試接入 IAST,測試結果反饋安全對接人• 安全部門復測檢出漏洞,報告反饋測試對接人• 測試提交漏洞至 bug 平臺
• bug 修復后,測試反饋安全復測,復測通過,IAST 平臺漏洞閉環
測試 bug 的閉環流程,將安全加入測試中,在測試和安全部門之間建立溝通,既利于解決傳統測試過程中缺失安全報告的問題,也利于使安全更合理地融入開發流程,減少安全風險。
對 IAST 的未來規劃
實際使用感受:
1.部署洞態 IAST 產生的價值:
• 檢測漏洞更高效,覆蓋的漏洞更全面• 洞態 IAST 的漏洞詳情十分詳細,漏洞直接定位到代碼行數,并可完整的還原漏洞觸發流程,利于開發部門修復
• 誤報率相比白盒低很多,復測漏洞所消耗的人力更少
• 高效、誤報低的特點提高了安全部門的價值,其他部門對安全的認可度更高,也間接推動了安全部門與其他部門的溝通合作
2. 對原本服務的影響:在大規模推廣 IAST,安裝 Agent 后,對接口反應時長會有一定影響,但影響不大。
3. 缺點:部分中低危漏洞存在誤報現象(洞態說明:因為同程目前部署的是 v1.0.3 版本,新版本對誤報現象已有很大改善了哦)
洞態點評:同程旅行的 IAST 實踐突出亮點在于其安全理念。同程安全部門強調發揮安全的主動性,主動去適應業務的變化,主動培養同事的安全意識,讓整個企業內部達成 “安全不是流程的關卡而是齒輪,串聯起應用整個生命周期” 的安全共識,這對于 IAST 的推廣使用能達到事半功倍的效果。此外,同程安全部門還能貼合使用場景,挖掘 IAST 的潛力,對 IAST 進行自動化部署、自動化復測、結果產出更貼合業務的改造,相信洞態 IAST 在同程旅行內能發揮其最大的價值。
關于洞態 IAST
洞態 IAST 是全球首個開源 IAST 產品,于2021年9月1日正式開源發布。洞態 IAST 專注于 DevSecOps,具備高檢出率、低誤報率、無臟數據的特點,幫助企業在應用上線前發現并解決安全風險。自開源發布以來,洞態 IAST 備受開源社區人員和企業的關注,包括工商銀行、去哪兒、知乎、同程旅行、輕松籌等在內的上百家企業都已成為洞態用戶。
