应用缺陷深度检测分析能力是 IAST 技术的首要基础要求。为了满足用户对各类编程语言的检测需求,IAST 交互式应用程序安全测试平台应全面支持 Java、Node.Js、PHP、C#、Python、Go 等主流编程语言。然而,目前国内市场上除 Contrast、悬镜安全和 Synopsys 的 IAST 平台已覆盖全部主流语言外,多数 IAST 平台仅支持一两款语言,检测深度和应用范围也严重受限。此外,运行时插桩精准检测模式配合流量检测模式、日志检测模式和爬虫检测模式进行深度应用安全审查是实现全场景支持的重要手段。
目前国内 IAST 技术发展仍处于成长期,但企业在落地研发运营安全建设时,IAST 平台已成为优先级较高的配套自动化工具产品。行业用户的快速增长,使 IAST 平台正在向规范化和规模化应用发展,IAST 平台对业务全场景支持已成为继应用编程语言覆盖率之后,评判 IAST 平台成熟度的又一主要标准。
悬镜安全作为国内 DevSecOps 体系先行者,结合多年创新经验沉淀,从技术落地实践视角延伸了 IAST 的概念:创造性提出交互式应用安全测试不仅可以从应用内部进行实时分析,只要是“交互”产生的“流量”,均应在 IAST 技术的覆盖范围内。即从广义技术来讲,一套完整的 IAST 方案应当至少覆盖以下检测场景:
插桩检测模式
· 动态污点追踪(被动式插桩)
· 交互式缺陷定位(主动式插桩)
流量检测模式
· 终端流量代理
· 主机流量嗅探
· 旁路流量镜像
日志检测模式
· Web 日志分析