2021年8月31日,火线安全平台(以下简称“火线”)宣布正式开源DevSecOps应用安全产品“洞态”,这也将是全球专业IAST领域的首个开源项目。
据了解,火线是国内知名的白帽子平台,拥有大量安全专家及头部互联网和金融客户。洞态IAST早期主要供火线平台的合作企业使用,目前,包括去哪儿网、轻松筹、百世快递、同程旅行、掌门1对1等知名公司都已将洞态IAST作为DevOps环节中的重要安全工具。
火线安全平台创始人邬迪表示,敏捷开发的普及让企业可以更高效的生产应用,同时也意味着产生更多的安全漏洞,如果在发布后才发现这些安全风险,成本相当巨大。所以,通过在软件的生命周期的早期即引入安全 工具 开展预防工作,已经成为业内共识。
而云原生的背景下,新的安全工具不仅需要应对不断变化的外部威胁,更应该满足云原生应用快速拓展、弹性伸缩的特性,即要考虑在安全和效率上的平衡——要更柔和的嵌入,而不是用分散和粗暴的方式来干预。
“随着云的普及和大量安全类法规的落地,应用安全的重要性已经不言而喻。火线希望将洞态IAST开源后,能让所有的企业都能使用最前沿DevSecOps产品,与所有企业一同共同构建DevSecOps安全生态”,邬迪谈到。
IAST全称Interactive Application Security Testing,即“交互式应用程序安全测试”。它主要通过Agent来收集和监控应用程序运行时的函数执行及数据传输,并与服务端进行实时交互,进而更高效的识别应用软件的安全缺陷及漏洞,同时可准确定位漏洞所在的代码文件、行数、函数及参数,方便开发团队修复问题。
与传统的白盒代码扫描相比,IAST基于应用运行态的检测可以显著提高扫描的准确性,同时还能定位到漏洞的代码位置,节省了开发团队在安全上投入的时间。更重要的是,IAST的agent端直接通过复用测试团队的流量来进行扫描,使得漏洞检测产品可以“无感地”嵌入到DevOps流程中,减少了安全和业务团队之间的矛盾。
作为一款创新的漏洞检测产品,洞态IAST的技术优势十分明显。
洞态完全基于“值匹配算法“和”污点跟踪算法”对漏洞进行检测。这种算法检测准确率高,还无需采集和重放流量,可以适配如今各种场景下的漏洞检测(如API网关、分布式、微服务等架构下的后端服务漏洞检测),还不会产生脏数据,干扰正常的开发测试流程。
对于检测发现的漏洞,洞态根据外部可控数据的传播过程,完整的还原漏洞触发流程,帮助DevOps团队快速理解漏洞、定位漏洞,更好的解决漏洞。通过赋能研发人员,提高漏洞修复的效率。
和业内同类产品“重Agent端、轻服务端”的架构不同,洞态的Agent端仅用于实现数据监听,漏洞检测全部在服务端完成。这种方法的好处是Agent端代码和逻辑简单,单点故障率更低也极少需要升级,降低了维护成本;另外,传统IAST产品对于当时未检测的漏洞都在Agent端直接丢弃,产品出现新的检测策略后,需要重新发起应用的测试,而洞态IAST将检测数据保存在服务端,可以轻松在服务端进行回归测试。
值得一提的是,洞态基于火线上万名白帽子的社区开发而成,目前已积累了大量的安全测试实例,经过测试,洞态对OWASP官方靶场的漏洞检出率高达100%,能够全面覆盖企业常见的所有主流漏洞类型。
据悉,9月1日下午14:00,火线安全平台将在线下举行洞态IAST开源发布会,并在线上直播。
届时,洞态IAST产品负责人owefsad将详细介绍洞态产品及开源参与方式,来自去哪儿、轻松筹等公司的安全工程师现身说法、介绍基于洞态IAST在企业的最佳实践。
发布会还邀请了云原生社区创始人Jimmy Song、微博CSO邹庆、奇绩创坛合伙人曹勖文、“M小姐研习录”作者莫妮卡与火线创始人邬迪共同探讨安全产品的开源和开源软件的安全。 微信搜索公众号“洞态”即可报名参加发布会直播。
2021年9月1日,洞态IAST正式在Github和Gitee两个社区同时开源,项目地址如下:
欢迎感兴趣的安全爱好者试用并参与贡献。
