IAST百科全书第5期:常见的IAST工具有哪些?-洞态篇
2023-6-7 15:48:49 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

常见的IAST工具有哪些?

Contrast是一家美国公司,目前在Gartner公布的AST领域魔力象限中处于“远见者”领域,他们最早实现了在开发人员编写代码时自动检测漏洞,消除误报,并提供修复指南,这是通过在软件中直接嵌入代码实现的,其实这就是插桩技术了。事实上,Contrast是最早将插桩技术引入IAST领域的公司,是这个领域的开创者。

Contrast Assess

前面我们说过,IAST的检测方式有流量型、主动插桩和被动插桩,但是Contrast选择只采用被动插桩,因为被动插桩可以实时检测漏洞,并且不会产生脏数据,让开发者完全无感,这和洞态选择被动插桩的原因是一致的。

插桩是依赖编程语言本身的,Contrast Assess提供了最广泛的插桩语言覆盖,包括Java,. NET,Node.js,Ruby,Python和Golang,它可以提供持续的漏洞评估,也可以与现有软件开发生命周期(SDLC)流程无缝集成。

根据Contrast官网的资料,Contrast Assess主要有3个最主要的功能:

01

动态安全评估

使用Contrast Assess可以进行动态安全评估,这是一种实时的应用程序安全测试方法。通过动态评估,你可以不断监测应用程序的安全性,并及时发现潜在的漏洞和威胁。

02

自动化漏洞检测和修复

Contrast Assess提供了自动化的漏洞检测和修复功能。它能够自动扫描你的应用程序,并识别出潜在的安全漏洞。

03

实时威胁情报和报告

Contrast Assess提供实时的威胁情报和报告功能,帮助你及时了解应用程序的安全状态。这可以帮助你追踪潜在的攻击活动,并采取相应的措施来防止和减轻威胁。

Contrast Assess监视与终端点的所有正常交互,并在可以在一个界面上清晰展示所有存在的漏洞,这点对使用者来说还是很友好的。

这让开发和安全团队能够从应用程序内部实时检测漏洞,通过实时结果,开发和安全团队可以一起检查发现的问题,实现即时的反馈循环。这有助于将组织的MTTR,也就是平均漏洞修复时间,从2个月缩短到8天。帮助企业在安全隐患成为更大的实质性威胁之前解决它们。

安全专家短缺

和国内一样,国外也面临着安全专家短缺的问题。Contrast一般将Contrast Assess和其他安全工具,比如Contrast OSS、Contrast Protect、Contrast DevSecOps Control Center打包在一起,形成了一个Contrast安全代码平台。

通过这个平台,安全团队可以减少所需的工具数量,降低对安全专家数量的需求,降低安全运营的总体拥有成本(TCO)。

下期话题

下期节目我们继续看常见的IAST工具,看看国际国内的其他IAST产品有什么亮点。

往期推荐


文章来源: https://mp.weixin.qq.com/s?__biz=MzU4MjEwNzMzMg==&mid=2247493135&idx=3&sn=d76a8a3dbf1492c05afb65930b75334b&chksm=fdbfcfa4cac846b25203d2495fd6c468856e1a2ea996e61e37ede4879e33edfe7e4b8811bc24&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh