安全玻璃盒 | 被动型 IAST交互式应用安全测试是实现DevSecOps自动化安全测试阶段的最佳方案

最新推荐文章于 2024-05-06 16:34:22 发布
最新推荐文章于 2024-05-06 16:34:22 发布
阅读量1.3k 收藏 3
点赞数
文章标签: 网络安全 devops 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tcsecXD/article/details/104533115
版权
把Sec塞进DevOps不只是技术与工具变更那么简单,更重要的是思维方式和内部流程的转变,推进DevSecOps的关键原则是:别给人添麻烦。《Gartner 2017研究报告:DevSecOps应当做好的十件事》和《Gartner 2019研究报告:DevSecOps应当做好的十二件事》两篇研究报告中都对成功实施DevSecOps进行了研究。两篇报告一致认为实施DevSecOps的关键挑战和第...
摘要由CSDN通过智能技术生成

把Sec塞进DevOps不只是技术与工具变更那么简单,更重要的是思维方式和内部流程的转变,推进DevSecOps的关键原则是:别给人添麻烦。
在这里插入图片描述
《Gartner 2017研究报告:DevSecOps应当做好的十件事》和《Gartner 2019研究报告:DevSecOps应当做好的十二件事》两篇研究报告中都对成功实施DevSecOps进行了研究。两篇报告一致认为实施DevSecOps的关键挑战和第一要素是:“安全测试工具和安全控制过程能够很好的适应开发人员,而不是背道而驰”。安全团队想要将安全测试或安全控制成功的融入在DevOps中的前提是:
不要试图改变程序员和测试人员的工作方法,也不要去增加他们额外的工作负担。

否则你将破坏DevOps的协作性和敏捷性,注定会成为众矢之的,最终无法落地。由于破坏DevOps的协作性和敏捷性而失败的惨痛案例笔者身边就有好几个。
在这里插入图片描述

应用安全测试在CI/CD软件开发周期中的集成点
WEB应用安全测试目前在市场上有众多的解决方案,其中最老牌、应用最为广泛的应属SAST和DAST这两类的测试工具,通过在源代码 (SAST) 或公开对外接口 (DAST) 上运行安全扫描,可以在应用上线之前识别并纠正许多漏洞。
然而随着 DevSecOps 被广泛接纳,Gartner 在 2017 年的研究报告中明确提倡用 Interactive Application Security Testing (IAST) 替换 SAST 和 DAST,原文如下:
考虑交互式应用安全测试 (IAST) 替代传统的静态应用安全测试(SAST)和动态应用安全测试 (DAST) 是可行的,我们建议这么做。IAST 是在DAST基础上的一种改进形式,测试过程更加可视化,包括内部和外部的。IAST 综合了 DAST 和 SAST 的优势,在确保测试代码覆盖率的基础上尽可能的做到了减少误报。

接下来笔者分析一下 Gartner 为何如此推崇在 DevSecOps 中采用 IAST 来替换 SAST 和 DAST。

1、SAST 因效率差、误报率高无法敏捷的融入到 DevOp

最低0.47元/天 解锁文章
tcsecXD
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈被动IAST产品与技术实现
Moyun_vackbot的博客
01-07 9379
笔者曾参与RASP研究与研发得到一些相关经验,近两年观察到IAST发展势头明显,但目前国内外对于IAST具体实现的细节相关文章较少,且笔者看到的开源IAST仅有洞态,故想通过笔者视角,对IAST的原理及技术实现进行探究及分享。 本文仅代表笔者个人观点,欢迎大家进行技术交流及学习。 什么是IAST IAST是AST其中的一个类别,AST是Application Security Testing的简称,译为应用安全测试,在其之下衍生出来以下几种类: SAST(Static Applicatio.
IAST交互式应该用程序安全测试技术分享
11-28
开发阶段为引入漏洞最关键的阶段,超过50%的安全漏洞由错误的编码产生。究其原因是因为 开发人员对所使用的语言与技术的安全特性不了解,写出的代码符合功能上的需求,但缺乏安全 上的考虑
安全玻璃IAST | 从RSA 2020看应用安全DevSecOps
tcsecXD的博客
02-27 442
本文作者:安全玻璃盒 创始人 范丙华 网络安全行业风向标——RSAC2020峰会,于美国时间2月24日在洛杉矶如期举行。根据“创新沙盒”十家企业的公开资料信息分析,应用安全和数据安全成为本届RSA的关注热点。 从Gartner定义技术领域划分:应用安全(Application Security)占据半数企业,涉及代码安全安全测试应用安全检测与防护、漏洞管理、DevSecOps等内容。 应用安...
揭秘IAST灰盒测试:原理全解析,优势超乎想象!
最新发布
weixin_55163056的博客
05-06 545
IAST是更适合DevSecOps安全测试,实时、准确地检测软件安全漏洞,帮助企业提升应用安全
安全玻璃IAST | 如何构建应用安全全生命周期解决方案——【DevSecOps
tcsecXD的博客
02-26 521
为何需要建立DevSecOps? 1.1应用软件安全风险的影响 面对当前万物智能互联、数字经济高速发展的大环境下,应用软件安全对于推动我国数字经济发展、维护社会稳定及国家安全都将起着至关重要的地位和作用。据Gartner报告显示:超过 80% 的网络攻击都发生在应用层,所披露的漏洞70%以上与应用安全有关,特别是SQL注入、XSS、CSRF、目录遍历等漏洞,所以应用安全将是安全保障的重中之重。...
什么是IAST交互式应用安全测试)?
WAJXY2021的博客
07-31 6287
这篇文章是Contrast Security 的CTO和共同创始人,Jeff Williams于2018年末写的一篇文章,对IAST描述的非常清楚,其中谈到的技术,我们今天还在做。对于IAST的深刻理解,非常值得我们学习。 一、介绍 交互式应用安全测试(Interactive application security testing IAST)是一个在应用和API中自动化识别和诊断软件漏洞的技术。如果从名字的缩写来看,插桩(Instrumented)式应用安全测试或许是一个更好的说法。IAST不是一个扫
干货分享 | 一文了解交互式应用程序安全测试IAST)技术
weixin_55163056的博客
04-17 812
通过代理和在服务端部署的agent程序,收集、监控Web应用程序运行时的请求数据、函数执行,并与扫描器端进行实时交互,高效、准确地识别安全漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。agent的职责分为两部分,应用启动时,负责对应用中的目标方法或者函数(执行漏洞的方法或函数)进行插桩,给目标方法加上一个代理层。而与DAST相比,DAST则很难定位到与漏洞相关的代码行,IAST可以提供详细信息,例如带有漏洞的代码位置,完整的数据流和堆栈信息,以帮助安全和开发团队进行安全漏洞修复。
利用IAST推动应用安全测试自动化.pdf
08-08
利用IAST推动应用安全测试自动化-IASTDevSecOps实现自动化安全测试的最佳工具之一 推进DevSecOps最关键原则 应用安全测试常用工具 SAST DAST-爬虫WEB扫描器 DAST-代理WEB扫描器 IAST-插桩主动IAST IAST-插桩...
自动化安全开发与测试.pdf
08-07
源码审核方案介绍 IAST安全解决方案介绍
「数据安全」基于IAST技术_灰盒安全测试工具产品分析 - 网络安全.zip
11-27
IAST(Interactive Application Security Testing,交互式应用程序安全测试)是一种新兴的技术,它融合了静态代码分析(SAST)和动态应用安全测试(DAST)的优势,为数据安全提供了更全面的解决方案IAST工具能够在...
基于IAST技术的灰盒安全测试工具产品分析.pdf
04-19
灰盒安全测试工具技术原理简介; 灰盒安全测试工具常见功能; 灰盒安全测试工具优势及不足; 在企业内落地实施建议
应用安全评测报告
小老鼠的博客
12-26 379
应用安全评测报告下来了,做出对应修改
IAST工具是如何工作的?主动和被动IAST有什么区别?
weixin_55163056的博客
05-06 738
要确保应用程序的质量和效果,需要使用各种不同的测试方法,包括手动和自动化测试,以及在生产环境中对应用程序进行测试。我们进一步探索,可以将主动IAST被动IAST相结合,以被动IAST为主,主动IAST用于辅助验证功能,进行测试,适用范围广,可定位到漏洞代码也无脏数据产生。被动IAST的探针以静默方式持续监视指向应用程序的所有常规流量,在运行时查找漏洞。交互式应用程序安全测试IAST)使用结合了动态应用程序安全测试(DAST)和静态应用程序安全测试(SAST)技术的工具来提高应用程序安全测试的准确性。
IAST 工具初探
05-26 1280
IAST交互式应用程序安全测试(Interactive Application Security Testing)。 近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些iast开源项目,可以让更多的个人或者企业参与体验。 本文就目前网络中找到的几款iast工具进行部署测试,记录一些使用过程。 1、openrasp-iast openrasp-iast 是一款灰盒扫...
DevSecOps安全工具链介绍
qq_25409421的博客
03-31 1275
建设DevSecOps平台的目标之一就是降低线上安全漏洞的数量和修复成本,围绕这一目标,其核心是构建和利用好各种自动化安全漏洞检测工具,并将其与CI/CD流水线进行自动化集成,在不影响研发效率的同时,确保安全漏洞能够及时、准确地发现。 作为建设者,需要根据工具的特性和所适合嵌入的研发阶段,对安全工具进行分类,以明确安全工具在整个平台中的定位,构建安全发现能力的纵深,让各种安全工具各司其职,最终形成完整的安全工具链。本文带大家了解SAST、DAST、IAST、RASP工具类
安全左移DevSecOps开源工具链建设
左手代码右手诗
06-13 1564
开发安全相关技术和产品受到越来越多的关注。行业共识认为,应用系统上线之后进行软件漏洞修复,其修复成本是需求设计阶段修复成本的几十倍。因此,在开发环节,引入相应的安全工具,能够有效的降低漏洞的修复成本,实现安全的左移。本文会持续研究安全开发相关工具,使用开源工具建设安全开发体系。
DongTai--被动IAST工具部署体验
09-07 1439
被动IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。 我在5月份的时候就申请了洞态IAST企业版内测,算是比较早的一批用户了。聊聊几个我比较在意的问题,比如API接口覆盖率、第三方开源组件检测以及脏数据等问题,而这些都是安全测试过程中的痛点,那么在这款工具的应用上,我们将找到答案。 在...
《可信研发运营安全能力模》:交互式IAST工具在软件全生命周期中的关键作用
在这份标准中,特别强调了自动化安全工具在实现可信研发运营安全理念中的核心作用,包括静态应用程序安全测试工具(SAST)、交互式应用程序安全测试工具(IAST)、开源软件审计平台(SCA)、动态应用程序安全测试...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值