SAST,DAST,IAST和RASP
据估计,90%的安全事件是由攻击者利用已知的软件错误引起的。毋庸置疑,在软件开发阶段消除这些漏洞可以减少当今许多组织面临的信息安全风险。为此,可以使用多种技术来帮助开发人员在将其纳入最终软件版本之前发现安全漏洞。它们包括SAST,DAST,IAST和RASP。
本文聊一聊代码安全审计中的,白盒,黑盒,交互安全测试,以及RASP即运行时应用程序安全保护。
SAST与DAST
SAST和DAST通常串联使用
SAST和DAST通常串联使用,因为SAST不会发现运行时错误,而DAST不会标记编码错误,至少不会下降到代码行号。在查找代码行中的错误(例如弱随机数生成)时,SAST的性能很好,但是在查找数据流缺陷方面通常效率不高。另外,SAST解决方案因大量误报而令人生厌。这里有一个reshift,这是一个免费的静态安全测试工具,它使用我们专有的机器学习算法更快地对误报进行分类,如果您有兴趣的话,请在此处查看。
抽象解释: 通过称为抽象解释的方法,在减少或完全消除误报方面取得了一些成功。但是,为了获得最佳结果,需要使用应用程序的域为代码量身定制抽象解释算法,包括应用程序的体系结构,如何使用某些数值算法以及操作的数据结构类型。
尽管SAST的缺陷,但它仍然是开发团队的最爱。他们喜欢它,使他们可以在代码级别扫描项目,这使单个团队成员更容易进行技术推荐的更改。它还使他们能够在开发过程的早期发现缺陷,从而有助于降低因在过程结束时解决问题而导致的成本和连锁反应。
此外,SAST可以自动 透明地集成到项目的工作流程中。这消除了通常与测试应用程序有关的安全性的麻烦,并且与DAST形成鲜明对比,DAST对于大型项目,需要创建特殊的基础结构,执行特殊的测试以及应用程序的多个实例与不同的输入数据并行运行。
但是,DAST可以理解参数和函数调用,因此它可以确定调用是否按其应有的方式运行。SAST无法检查调用,并且在大多数情况下,无法检查参数值。
交互式应用程序安全测试(IAST)
IAST或交互式应用程序安全性测试。 由于SAST和DAST都是较旧的技术,因此有人认为它们缺乏保护现代Web和移动应用程序所需的资源。例如,SAST很难处理现代应用程序中的库和框架。这是因为静态工具只能看到它们可以遵循的应用程序源代码。而且,库和第三方组件通常会导致静态工具阻塞,从而产生“丢失的源”和“丢失的接收器”消息。框架也是如此。在API,Web服务或REST端点上运行静态工具,由于它们不了解框架,因此不会发现任何错误。
IAST旨在通过结合两种方法的要素来解决SAST和DAST的缺点。IAST将代理放置在应用程序中,并在应用程序中,开发过程中的任何位置,IDE,连续集成环境,QA甚至生产环境中的任何位置实时进行所有分析。
由于IAST代理在应用内部运行,因此它可以将其分析应用于所有应用的所有代码;其运行时控制和数据流信息;其配置信息;HTTP请求和响应;库,框架和其他组件;和后端连接信息。与SAST或DAST相比,对所有信息的访问使IAST引擎可以覆盖更多代码,产生更准确的结果并验证更广泛的安全规则。
运行时应用程序安全保护(RASP)
RASP或运行时应用程序安全保护 与IAST,RASP或运行时应用程序安全保护一样,它在应用程序内部运行,但它不是测试工具,而是安全性工具。它已插入到应用程序或其运行时环境中,并且可以控制应用程序的执行。即使网络的外围防御遭到破坏,并且应用程序包含开发团队遗漏的安全漏洞,RASP仍然可以保护应用程序。RASP允许应用程序对其自身进行连续的安全检查,并通过终止攻击者的会话并警告防御者攻击来对实时攻击做出响应。
RASP特有的一个问题是,它可能在开发团队中造成虚假的安全感。他们可能不遵循安全最佳实践的思想,即“如果我们错过了某些东西,RASP将会接手。”
IAST和RASP之类的技术存在的问题是,它们可能会对应用程序性能产生不利影响,尽管该技术的增强对性能的影响很小。RASP特有的一个问题是,它可能在开发团队中造成虚假的安全感。他们可能不遵循安全最佳实践的思想,即“如果我们错过了某些东西,RASP将会接手。” 但是,即使RASP发现了缺陷,开发团队仍然必须解决问题,而当他们这样做时,可能必须将应用程序脱机,这会花费组织时间,金钱和客户信誉。
不管在SAST,DAST,IAST和RASP之类的技术中遇到什么挑战,使用它们都可以创建更安全的软件,并且比将所有安全性测试拖到开发过程的尾部,以更快,更经济高效的方式进行操作。
扫一扫
538
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
