《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > IAST融入DevSecOps的最佳實踐

IAST融入DevSecOps的最佳實踐

2022-11-07
來源:安全419
關(guān)鍵詞: IAST DevSecOps

  近幾年,伴隨云計算,、容器技術(shù)以及 DevOps 的普及,,DevSecOps 作為糅合了開發(fā)、安全及運營理念的全新方法,,其關(guān)注熱度持續(xù)上升,,并在全球范圍內(nèi)得到廣泛應(yīng)用,。目前 IAST 被部分業(yè)內(nèi)人士看作一種“更適合 DevSecOps 流程 構(gòu)建”的應(yīng)用程序安全檢測技術(shù),,受到行業(yè)的更多關(guān)注,。

  那么 IAST 是否真的更適合 DevSecOps 流程構(gòu)建?它能夠提供哪些核心能力和關(guān)鍵技術(shù),,以及有哪些局限性,?

  要了解 IAST 是否真的更適合 DevSecOps 流程構(gòu)建,首先要弄明白 DevSecOps 到底是什么,。根據(jù) Gartner 定義,,DevSecOps(即 Development、Security 和 Operations)是指在不減少敏捷度和開發(fā)者效率,,或在不要求開發(fā)者離開現(xiàn)有工具鏈的情況下,,將安全盡可能無縫、無感知地集成進 IT 和 DevOps 開發(fā)中,。

  DevSecOps 有三個核心點:一是便于集成,,安全工具可以很方便的與現(xiàn)有的 IT 或 DevOps 流程對接和打通,這也是實現(xiàn) DevSecOps 的前提條件,;二是無感知,,要求安全工具對已有的 DevOps 流程不能產(chǎn)生任何的影響和干擾;三是在研發(fā)階段解決安全問題,,而不是像傳統(tǒng)開發(fā)流程一樣,,在軟件上線后由安全人員檢測問題,再反饋給研發(fā)人員來解決問題,。問題越早的檢測和修復(fù),,企業(yè)的整體修復(fù)成本就越低,這也是 DevSecOps 的核心目的之一,。目前來看,,DevSecOps 在落地時遇到的主要痛點和難點也體現(xiàn)在這三個點上。那么,,更適合 DevSecOps 流程構(gòu)建的 IAST 到底是什么,?有哪些特點?

  IAST 是交互式應(yīng)用程序安全測試(Interactive Application Security Testing),,是一種新的應(yīng)用程序安全測試方案,,通過在服務(wù)端部署 Agent ,收集,、監(jiān)控應(yīng)用程序運行時的函數(shù)執(zhí)行,、數(shù)據(jù)傳輸?shù)刃畔ⅲ缓蟾鶕?jù)污點跟蹤算法,、值傳遞算法等一系列算法進行漏洞的識別,。

  IAST 是一種應(yīng)用程序運行時的漏洞檢測技術(shù),所以它具備了 DAST 中檢測結(jié)果準(zhǔn)確的特征,;此外,,IAST 采集到數(shù)據(jù)在方法內(nèi)部的流動后,,通過污點跟蹤算法來進行漏洞檢測,用算法來進行漏洞檢測,,所以檢測結(jié)果也具備了 SAST中全面性的特征,。

  同時因為 IAST 安裝在應(yīng)用程序內(nèi)部,安全人員可以拿到類似于源碼級漏洞報告,,這種漏洞結(jié)果對于開發(fā)人員很友好,,可以方便開發(fā)人員進行漏洞修復(fù)。綜合來看,,IAST 具有高檢出率,、低誤報率、檢測報告詳細(xì)便于排查等一系列優(yōu)勢,,可以很好地在 DevSecOps 流程中解決痛點和難點,。

  如何用 IAST 來構(gòu)建 DevSecOps ,或者說是構(gòu)建 DevSecOps 流程時,,IAST 必須具備哪些功能才能支撐這個流程的構(gòu)建,。大概有三點。第一點,,IAST 必須柔和地嵌入 DevOps 流程,,即十分便利地與 CI/CD 流程對接,包括與 Jenkins ,、Gitlab 等工具打通等,;第二點,當(dāng)IAST 和 DevOps 流程對接時,,需要做版本的控制,,支持在 Agent 端直接指定項目名稱和版本,進行后續(xù)的版本跟蹤,,以及版本的漏洞對比等,;第三點,IAST可通過漏洞復(fù)測與回歸測試,,驗證此前發(fā)現(xiàn)的漏洞是否依舊存在,。

  那么,IAST 的核心能力有哪些,?其在具體的場景應(yīng)用中又會存在哪些局限性,?IAST 本質(zhì)是做漏洞檢測,其核心能力主要包括四點:一是實時的漏洞檢測,,保證不影響 DevOps 的原有效率,;二是第三方組件的梳理和漏洞檢測,保證應(yīng)用避免供應(yīng)鏈的攻擊;三是靈活的漏洞檢測邏輯,,讓用戶在使用內(nèi)置檢測邏輯的同時,,很方便地配置出具有業(yè)務(wù)屬性的特定檢測邏輯,來做業(yè)務(wù)層面的漏洞檢測,;四是極低的運營成本,,IAST 在企業(yè)內(nèi)部使用時,,一定是需要持續(xù)運營的,,當(dāng)出現(xiàn)了 IAST 沒有覆蓋到的漏洞情況時,可以用最低的成本來完善檢測策略和檢測邏輯,,保證漏洞的檢出,。

  IAST 的局限性主要體現(xiàn)在 IAST 的內(nèi)置漏洞策略有限、且無業(yè)務(wù)屬性,,無法保證檢測所有的安全風(fēng)險,;推薦在上線前通過白盒、灰盒,、黑盒,、人工滲透測試一起來檢測漏洞,然后將 IAST 沒有覆蓋到的漏洞策略補充進來,;上線后可通過外部的眾測,、SRC 運營等手段,更全面地發(fā)現(xiàn)安全風(fēng)險,,同時將漏洞策略補充到 IAST 中,,做后續(xù)的自動化測試。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。