点击蓝字
关注我们
图|演讲人-悬镜安全技术负责人宁戈
开发安全面临的两个问题
业务先上线,安全问题后补救
安全责任过于依赖有限的安全团队资源
安全较缓慢,常置于流程之外,当版本更新迭代较快时,传统的安全手段限制业务交付
责任:安全是每个人的责任,应该嵌入到从开发到运营的每一个环节
嵌入流程:开发运维
柔和嵌入研发运维流程,自动化
自动化流程,人更趋向于运营反馈处理
适用于周期较慢、迭代较快的业务
IAST灰盒安全测试技术
低门槛。无需专业技术背景,普通测试人员透明众测完成业务安全测试
低侵入。旁路流量部署不影响正常业务流执行和通信效率
低消耗。透明部署,不影响正常测试工作和用户使用流程
在目标应用的关键类、方法中插入检测逻辑
Java、NodeJs、.Net、PHP皆可依据自身语言特性插桩
以Java为例,利用Instrument特性,类加载时transform字节码
结合字节码操作框架,ASM、Javassist、Aspectj,修改类和方法
IAST技术总结
• 相比传统SAST/DAST,IAST精准度更高;
• IAST可以解决签名接口问题;
• IAST获取信息全面和精细,有利于指导研发;
• IAST更易于整合到DevSecOps CI/CD流程;
• 主被动IAST融合,将使IAST技术优势更加突出。
• 同时支持应用插桩和多种流量追踪技术,应对业务场景丰富、开发语言众多、部署环境复杂等场景;
• 支持自动化安装,协调CI/CD完成批量部署;
• 支持配置热加载、性能异常熔断机制;
• 支持SCA第三方开源组件运行时监测分析;
• 支持Jenkins 、Jira、CAS等第三方平台。
当前,践行悬镜敏捷安全理念并采用悬镜DevSecOps智适应威胁管理体系解决方案的企业机构包括中国银行、中信建投证券、中国石化、中体彩、人民网、国家电网、北京大学等,客户覆盖金融、电信、政务、能源、教育等领域。
本文分享自微信公众号 - 悬镜AI安全(Anpro-tech)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
来源:oschina
链接:https://my.oschina.net/u/4588866/blog/4555338