《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > IAST融入DevSecOps的最佳實踐

IAST融入DevSecOps的最佳實踐

2022-11-07
來源:安全419
關(guān)鍵詞: IAST DevSecOps

  近幾年,伴隨云計算、容器技術(shù)以及 DevOps 的普及,DevSecOps 作為糅合了開發(fā)、安全及運營理念的全新方法,其關(guān)注熱度持續(xù)上升,并在全球范圍內(nèi)得到廣泛應(yīng)用。目前 IAST 被部分業(yè)內(nèi)人士看作一種“更適合 DevSecOps 流程 構(gòu)建”的應(yīng)用程序安全檢測技術(shù),受到行業(yè)的更多關(guān)注。

  那么 IAST 是否真的更適合 DevSecOps 流程構(gòu)建?它能夠提供哪些核心能力和關(guān)鍵技術(shù),以及有哪些局限性?

  要了解 IAST 是否真的更適合 DevSecOps 流程構(gòu)建,首先要弄明白 DevSecOps 到底是什么。根據(jù) Gartner 定義,DevSecOps(即 Development、Security 和 Operations)是指在不減少敏捷度和開發(fā)者效率,或在不要求開發(fā)者離開現(xiàn)有工具鏈的情況下,將安全盡可能無縫、無感知地集成進 IT 和 DevOps 開發(fā)中。

  DevSecOps 有三個核心點:一是便于集成,安全工具可以很方便的與現(xiàn)有的 IT 或 DevOps 流程對接和打通,這也是實現(xiàn) DevSecOps 的前提條件;二是無感知,要求安全工具對已有的 DevOps 流程不能產(chǎn)生任何的影響和干擾;三是在研發(fā)階段解決安全問題,而不是像傳統(tǒng)開發(fā)流程一樣,在軟件上線后由安全人員檢測問題,再反饋給研發(fā)人員來解決問題。問題越早的檢測和修復(fù),企業(yè)的整體修復(fù)成本就越低,這也是 DevSecOps 的核心目的之一。目前來看,DevSecOps 在落地時遇到的主要痛點和難點也體現(xiàn)在這三個點上。那么,更適合 DevSecOps 流程構(gòu)建的 IAST 到底是什么?有哪些特點?

  IAST 是交互式應(yīng)用程序安全測試(Interactive Application Security Testing),是一種新的應(yīng)用程序安全測試方案,通過在服務(wù)端部署 Agent ,收集、監(jiān)控應(yīng)用程序運行時的函數(shù)執(zhí)行、數(shù)據(jù)傳輸?shù)刃畔?,然后根?jù)污點跟蹤算法、值傳遞算法等一系列算法進行漏洞的識別。

  IAST 是一種應(yīng)用程序運行時的漏洞檢測技術(shù),所以它具備了 DAST 中檢測結(jié)果準(zhǔn)確的特征;此外,IAST 采集到數(shù)據(jù)在方法內(nèi)部的流動后,通過污點跟蹤算法來進行漏洞檢測,用算法來進行漏洞檢測,所以檢測結(jié)果也具備了 SAST中全面性的特征。

  同時因為 IAST 安裝在應(yīng)用程序內(nèi)部,安全人員可以拿到類似于源碼級漏洞報告,這種漏洞結(jié)果對于開發(fā)人員很友好,可以方便開發(fā)人員進行漏洞修復(fù)。綜合來看,IAST 具有高檢出率、低誤報率、檢測報告詳細便于排查等一系列優(yōu)勢,可以很好地在 DevSecOps 流程中解決痛點和難點。

  如何用 IAST 來構(gòu)建 DevSecOps ,或者說是構(gòu)建 DevSecOps 流程時,IAST 必須具備哪些功能才能支撐這個流程的構(gòu)建。大概有三點。第一點,IAST 必須柔和地嵌入 DevOps 流程,即十分便利地與 CI/CD 流程對接,包括與 Jenkins 、Gitlab 等工具打通等;第二點,當(dāng)IAST 和 DevOps 流程對接時,需要做版本的控制,支持在 Agent 端直接指定項目名稱和版本,進行后續(xù)的版本跟蹤,以及版本的漏洞對比等;第三點,IAST可通過漏洞復(fù)測與回歸測試,驗證此前發(fā)現(xiàn)的漏洞是否依舊存在。

  那么,IAST 的核心能力有哪些?其在具體的場景應(yīng)用中又會存在哪些局限性?IAST 本質(zhì)是做漏洞檢測,其核心能力主要包括四點:一是實時的漏洞檢測,保證不影響 DevOps 的原有效率;二是第三方組件的梳理和漏洞檢測,保證應(yīng)用避免供應(yīng)鏈的攻擊;三是靈活的漏洞檢測邏輯,讓用戶在使用內(nèi)置檢測邏輯的同時,很方便地配置出具有業(yè)務(wù)屬性的特定檢測邏輯,來做業(yè)務(wù)層面的漏洞檢測;四是極低的運營成本,IAST 在企業(yè)內(nèi)部使用時,一定是需要持續(xù)運營的,當(dāng)出現(xiàn)了 IAST 沒有覆蓋到的漏洞情況時,可以用最低的成本來完善檢測策略和檢測邏輯,保證漏洞的檢出。

  IAST 的局限性主要體現(xiàn)在 IAST 的內(nèi)置漏洞策略有限、且無業(yè)務(wù)屬性,無法保證檢測所有的安全風(fēng)險;推薦在上線前通過白盒、灰盒、黑盒、人工滲透測試一起來檢測漏洞,然后將 IAST 沒有覆蓋到的漏洞策略補充進來;上線后可通過外部的眾測、SRC 運營等手段,更全面地發(fā)現(xiàn)安全風(fēng)險,同時將漏洞策略補充到 IAST 中,做后續(xù)的自動化測試。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。