安全左移|洞态IAST构建高效DevSecOps流程

2021-09-30 12:01:24 来源 : IT专家网

飞书20210928-172310_副本.jpg

9月25日,由CNCF大使、开源意见领袖共同发起的,国内最大的独立第三方云原生终端用户和泛开发者社区——云原生社区,在腾讯大厦成功举办深圳站首届MeetUp。

本届MeetUp聚焦云原生,火线安全洞态产品负责人董志勇分享了“使用IAST构建高效的DevSecOps流程”,从IAST的时代需要到IAST含义,从洞态IAST的功能与实现原理到洞态IAST与DevOps的高效融合均做了详细介绍。

01 IAST的时代需要

自2016年以来,随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律相继颁布并施行,企业安全运行能力要求不断提高。

此外,网络攻击频发也引起网络界的关注。被勒索软件勒索、数据泄露、服务器被入侵等在近年来出现的网络安全问题中占据极大比例,这些都是应用本身安全性不足所导致的。

安全测试成为应用开发的必要环节。

#IAST

在瀑布开发与敏捷开发时代,应用迭代速度相对较慢,企业安全团队人员数量足够cover住应用开发上线的测试频率。

但随着开发流程理念的更新,DevOps逐渐出现并成为主流。DevOps在“提高企业生产效率、实现应用迭代大加速“的同时,也带来了“安全测试任务密度变大,待上线应用的数量与安全测试人员数量严重不对等”的问题。原有的安全测试手段已不合时宜,高效可靠的自动化检测成为安全团队的不二之选。

虽然SAST和DAST也可以承担自动化检测的角色,但二者都具有致命的缺点。相比之下,IAST则是不偏科,且各方面都突出的优等生。目前来说,IAST才是自动化安全检测的最优选择。

IAST全称为 “交互式应用程序安全测试” ,通过利用Agent来监控应用程序运行时的函数执行情况,采集相关数据,与服务端进行实时交互,从而高效、准确地识别出应用程序中的漏洞。同时可准确定位到漏洞所在的文件、行数、方法及参数,方便开发团队及时修复漏洞。

洞态IAST由火线安全于9月1日正式开源发布,是全球第一款开源IAST产品。凭借高效的检测效率、极高的检出率、极低的误报率、极少的脏数据以及极详细的漏洞详细,洞态IAST在发布之际便受到了诸多厂商的关注。

作为一款创新的漏洞检测产品,洞态IAST的技术优势十分显著。洞态完全基于“值匹配算法“和”污点跟踪算法”对漏洞进行检测。这种算法检测准确率高,无需采集和重放流量,可以适配各种场景下的漏洞检测(如:API网关、分布式、微服务等架构下的后端服务漏洞检测),还不会产生脏数据,干扰正常的开发测试流程。

对于检测发现的漏洞,洞态根据外部可控数据的传播过程,完整的还原漏洞触发流程,帮助DevOps团队快速理解漏洞、定位漏洞,更好的解决漏洞。通过赋能研发人员,提高漏洞修复的效率。

和业内同类产品“重Agent端、轻服务端”的架构不同,洞态的Agent端仅用于实现数据监听,漏洞检测全部在服务端完成。这种方法的好处是Agent端代码和逻辑简单,单点故障率更低也极少需要升级,降低了维护成本。另外,传统IAST产品对于未检测的漏洞都在Agent端直接丢弃,产品出现新的检测策略后,需要重新发起应用的测试,而洞态IAST将检测数据保存在服务端,可以轻松在服务端进行回归测试。

支持多种漏洞检测

●