• 火線安全平臺宣布正式開源全球首個IAST項目——“洞態IAST”

    首頁 / 業界 / 資訊 /  正文
    作者:藏青
    來源:安全419
    發布于:3個月前
    2021年9月1日,火線安全平臺洞態IAST開源發布會在北京圓滿舉行。在發布會上,火線安全平臺宣布正式將旗下DevSecOps應用安全產品“洞態IAST”開源,這也將是全球專業IAST領域的首個開源項目。
     

     
    洞態IAST產品負責人owefsad介紹,當前國內對網絡安全的重視程度不斷提高,《數據安全法》、《關鍵信息基礎設施安全保護條例》、《個人信息保護法》等各類的法規法規不斷出臺落地,也從側面推動了應用程序向更安全的方向發展。
     
    而隨著云的普及,應用程序的運行環境發生了很大的改變,大量的應用都被部署在了云環境上運行的基礎集群、鏡像容器等環境中,在如此復雜的環境下,新的安全工具不僅需要應對不斷變化的外部威脅,還應該滿足云原生應用快速拓展、彈性伸縮的特性,即要考慮在安全和效率上的平衡——要更柔和的嵌入,而不是用分散和粗暴的方式來干預。
     
    此外,從計算機企業級應用發展到現在,已經進入了敏捷開發時代。隨著企業生產效率的提高,應用的迭代速度也變得越來越快,但快速迭代也造成待上線應用的數量與安全測試人員數量的嚴重不對等,進而產生了新的應用安全風險。因此,為了滿足企業的生產效率需求,必須要有同樣高效的安全工具來消弭安全測試人員數量不足給生產效率帶來的影響。
     
    洞態IAST產品負責人owefsad
     
    據了解,IAST全稱Interactive Application Security Testing,即“交互式應用程序安全測試”。它主要通過Agent來收集和監控應用程序運行時的函數執行及數據傳輸,并與服務端進行實時交互,進而更高效的識別應用軟件的安全缺陷及漏洞,同時可準確定位漏洞所在的代碼文件、行數、函數及參數,方便開發團隊修復問題。 
     
    與傳統的白盒代碼掃描相比,IAST基于應用運行態的檢測可以顯著提高掃描的準確性,同時還能定位到漏洞的代碼位置,節省了開發團隊在安全上投入的時間。更重要的是,IAST的agent端直接通過復用測試團隊的流量來進行掃描,使得漏洞檢測產品可以“無感地”嵌入到DevOps流程中,減少了安全和業務團隊之間的矛盾。 
     
    owefsad表示,作為一款創新的漏洞檢測產品,洞態IAST的技術優勢十分明顯。 
     
    洞態完全基于“值匹配算法“和”污點跟蹤算法”對漏洞進行檢測。這種算法檢測準確率高,還無需采集和重放流量,可以適配如今各種場景下的漏洞檢測(如API網關、分布式、微服務等架構下的后端服務漏洞檢測),還不會產生臟數據,干擾正常的開發測試流程。 
     
    對于檢測發現的漏洞,洞態根據外部可控數據的傳播過程,完整的還原漏洞觸發流程,幫助DevOps團隊快速理解漏洞、定位漏洞,更好的解決漏洞。通過賦能研發人員,提高漏洞修復的效率。 
     
    和業內同類產品“重Agent端、輕服務端”的架構不同,洞態的Agent端僅用于實現數據監聽,漏洞檢測全部在服務端完成。這種方法的好處是Agent端代碼和邏輯簡單,單點故障率更低也極少需要升級,降低了維護成本;另外,傳統IAST產品對于當時未檢測的漏洞都在Agent端直接丟棄,產品出現新的檢測策略后,需要重新發起應用的測試,而洞態IAST將檢測數據保存在服務端,可以輕松在服務端進行回歸測試。 
     
    去哪兒網高級安全工程師耿哈哈

    輕松籌高級安全工程師Pa55w0rd
     
    在發布會上,作為洞態IAST產品的資深用戶,來自去哪兒、輕松籌的兩位高級安全工程師也現身說法,為場內的嘉賓們帶來了洞態IAST產品在自身企業的安全實踐。
     
     
    在發布會的圓桌環節上,經緯中國投資人Monica、微博信息安全總經理鄒慶、奇績創壇合伙人曹勖文、Tetrate布道師/云原生社區創始人宋凈超,以及火線安全平臺創始人鄔迪一同圍繞開源安全產品的發展前景進行了研討。
     
    火線安全平臺創始人鄔迪表示,敏捷開發的普及讓企業可以更高效的生產應用,同時也意味著產生更多的安全漏洞,如果在發布后才發現這些安全風險,成本相當巨大。所以,通過在軟件的生命周期的早期即引入安全工具開展預防工作,已經成為業內共識。 
     
    “在過去的時候,安全部門跟業務部門以及開發部門之間存在一些對抗的關系,大家會認為安全部門會在產品上線后再提出安全問題,然后再來找麻煩,這是一種干擾式的合作。但在我們看來,安全應該更好的為業務發展賦能,更柔和的嵌入到業務流中,因此我們開始關注IAST這種插樁式的方式,并逐步將它打造成為一個可以落地的產品,這也是我們開源洞態IAST這個產品的初衷”,鄔迪談到。
     
    微博信息安全總經理鄒慶也在圓桌上分享了自己針對開源安全產品未來發展的看法。首先他認為,網絡安全行業發展到今時今日,安全事實上已經不再是業務的附屬,而應該將其稱為業務的重要支撐。“當前安全已經被提升到了一個很高的位置,因此安全之于業務而言就像是車輪之于汽車,缺少了車輪汽車就無法繼續前進,因此其實我們已經很難再去說安全跟業務之間是一種附屬關系了。”
     
    鄒慶表示,過去很多企業都會優先發展業務,在業務發展到一定階段的時候再來考慮安全問題,如今隨著合規政策的要求,以及自身業務健康發展的需要,安全對于這部分而言已經變成了剛需。而大多數企業在面對安全建設的時候預算是有限的,因此開源的安全產品可能成為大多數中小企業的必然選擇,開源安全產品將會迎來快速發展的機遇期。
     
    鄔迪最后表示,“隨著云的普及和大量安全類法規的落地,應用安全的重要性已經不言而喻?;鹁€希望將洞態IAST開源后,能讓所有的企業都能使用最前沿DevSecOps產品,與所有企業一同共同構建DevSecOps安全生態。”
     
    據了解,火線安全是國內知名的白帽子平臺,擁有大量安全專家及頭部互聯網和金融客戶。洞態IAST早期主要供火線平臺的合作企業使用,目前,包括去哪兒網、輕松籌、百世快遞、同程旅行、掌門1對1等知名公司都已將洞態IAST作為DevOps環節中的重要安全工具。 
     
    值得一提的是,洞態IAST產品基于火線上萬名白帽子的社區開發而成,目前已積累了大量的安全測試實例,經過測試,洞態對OWASP官方靶場的漏洞檢出率高達100%,能夠全面覆蓋企業常見的所有主流漏洞類型。 
     
    目前,洞態IAST已正式在Github和Gitee兩個社區同時開源,感興趣的安全愛好者可前往試用并參與貢獻。

    洞態官網:dongtai.io
    開源項目地址:
    https://github.com/HXSecurity/DongTai 
    https://gitee.com/HXSecurity