非我不可?洞态IAST如何在朴朴持续产出?
2023-6-2 17:26:24 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

朴朴超市是福州朴朴电子商务有限公司推出的一个生鲜快送服务平台,主要覆盖福州、深圳、武汉、厦门、广州、成都、佛山等城市。

朴朴以三十分钟及时配送及前置仓为模式,已完成多次融资,目前包括骑手在内,已拥有超过3万名员工。

除了生鲜类目以外,朴朴还有粮油、调味品、化妆品、零食、饮料、文具等类目,主打一站式购齐,用户足不出户,手机上随时随地搞定日常生活所需。

2022年,朴朴超市获得艾媒咨询《2021新经济行业年度巅峰榜》“年度最佳互联网品牌电商与零售类”奖项。

自2016年在福州创办并成立第一家门仓开始,朴朴便是一家完全的互联网公司,业务依托于数字化应用,没有数字化就没有业务发展。

对于用户量增长迅猛的朴朴来说,业务发展是核心诉求,应用安全防护流程绝不能阻碍业务的发展。传统的瀑布式开发及安全测试流程,显然不能满足朴朴对应用快速开发迭代及上线的业务需求。

如何尽早发现漏洞并提高安全检测的效率,通过安全左移构建完整的体系化的开发安全架构,在CI/CD流程中顺滑接入各种高效的安全监测与防护工具,同时安全工具和流程如何实现开发人员无感知,是摆在朴朴安全团队面前的一道难题。

为了在应用上线前尽早发现业务漏洞,朴朴引入了SAST、DAST、IAST、SCA等多种安全测试工具。SAST覆盖面广,但误报率较高,需耗费较多人力排除误报;DAST误报率低,但漏报率高,脏数据较多,容易造成开发人员排斥。

IAST通过污点跟踪算法检测漏洞,并根据应用运行时的数据进行分析,同时具备了SAST与DAST的优势,报警信息更精准,并且不产生任何脏数据,对开发人员完全无感,可以极大地减轻朴朴在内部部署推广安全检测工具的阻力。

在部署和上线阶段,朴朴严格遵循先从边缘业务使用,逐步扩展到核心业务部署的原则,在洞态IAST的稳定性得到充分的验证后,最终全量业务都实现了洞态的无感接入。

洞态IAST独创的数据采集与扫描引擎分离架构,赋予其生产级别的稳定性

通过与朴朴现有的CI/CD流程自动化对接,一次部署,即可完美融入朴朴的DevSecOps流程,在朴朴应用快速迭代的过程中持续产出有效漏洞,极大提高了安全人员的工作效率。

洞态IAST非常注重用户体验,产品功能更聚焦,产品界面简洁清晰,对于使用者来说更快上手,更方便使用。洞态IAST开放所有的检测规则,支持使用者自主构建更加灵活和更有针对性的检测方法,改造上限也很高。

适合的才是最好的。通过检测规则的自定义,朴朴将洞态改造成更适配朴朴业务模式的形态,以获取更加精准的报警和风险信息、更加准确的评估安全风险,进一步提升漏洞检测结果的准确性。

朴朴的安全部门仅需少量的人工进行漏洞验证与复现,即可快速确认、快速反馈至开发人员,帮助漏洞快速修复,安全部门的工作效率得到了更进一步的提升。

在朴朴上线部署洞态IAST后,在近一年时间内持续产出有效漏洞,且经过人工验证,均为其他安全工具难以发现的业务漏洞,帮助朴朴将重大安全隐患扼杀在初期,在保障朴朴业务安全的同时,完美支撑了朴朴的应用迭代速度。

“土生土长”的互联网公司往往都伴随着应用的快速迭代,更需要建立完整的DevSecOps流程和其中各个节点的安全能力,更需要能落地、能联动的、好用、易用的人性化安全产品。

洞态IAST在多个行业已成功落地,应用效果显著,扫码申请《IAST落地实战笔记》,了解更多真实客户案例。

往期推荐


文章来源: https://mp.weixin.qq.com/s?__biz=MzU4MjEwNzMzMg==&mid=2247493097&idx=1&sn=86e23755647a00923705bab2e5883195&chksm=fdbfcc42cac845540d02ced1e3530f5cf1530fcdeaef4a854200eb370303603e58ca437280bd&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh