精益求精!默安雳鉴IAST新版本正式发布
2021-08-26
随着开发安全测试技术的不断演进,交互式安全测试工具(IAST)因其低误报、高检测覆盖率的特点在众多检测工具中脱颖。默安科技雳鉴软件开发全流程安全框架近期发布IAST新版本2.10,一起看看增加了哪些实用的新功能~
No.01 自动发现隐私数据泄露风险
2021年8月,《个人信息保护法》正式通过,将在11月1日正式施行。《个人信息保护法》的来临对个人信息处理者提出了更为严格的要求,在应用程序开发初期管控隐私数据泄露风险显得尤为重要。
默安科技安全研究团队经过大量实践,发现IAST对于发现隐私数据泄露风险有着天然优势。早在2020年的产品更新中,雳鉴IAST已遵循《个人信息保护法(草案)》、GDPR、PCI DSS等法规标准,支持对应用中不合规的隐私数据处理行为进行检测,迅速定位存在隐私泄露风险的漏洞地址和代码位置。在IAST最新发布的版本中,该功能已支持自定义,即客户可同时根据自身的数据特点,或相关行业隐私规范,定义具有行业特性或企业属性的数据类型,从而实现对隐私数据的全面监控。
No.02 提供安全可控的安全组件
当前大量的安全组件都依赖于开源项目团队,其自身安全风险难以把控。默安科技安全研究团队通过雳鉴SCA对著名开源安全组件ESAPI最新版(2.2.3.1)进行组件依赖分析后发现其中不但存在许可证风险,还有CVE漏洞。因此,默安研究团队建立了自己的安全组件库,并在雳鉴IAST的新版本中直接供客户使用,其中包括SQL注⼊防护、XSS防护、URL重定向防护、SSRF防护、XXE防护、CRLF注⼊防护、⽂件上传防护、CSRF防护等近百种安全漏洞的统一防护。
No.03 智能识别过滤函数
被动插桩中出现“误报”的一个主要原因是Agent不认识客户企业内部自定义的过滤函数,导致安全人员需花费精力排查“误报”原因、定位过滤函数位置。雳鉴IAST通过内置的过滤函数发现引擎,自动发现应用内部疑似的过滤函数,并一键配置到系统中作为内置规则应用,让扫描器在漏洞检测的过程中不断学习每个企业内部的安全策略,提升产品与企业的贴合度,减少IAST可能存在的误报。
No.04 插桩支持更多编程语言
IAST插桩拥有借助功能测试扩大安全测试覆盖面、代码流程跟踪等独特优势,但也存在插桩Agent需适配不同代码语言的局限。默安科技的雳鉴IAST经过大量客户调研,从Java语言入手,精益求精,并率先支持GO和.NET等语言,适配不同客户的开发场景与业务发展需求。
• 雳鉴IAST还有哪些“出圈”亮点?
随着客户量的提升,客户需求越来越多样化,应用场景越来越复杂。雳鉴IAST逐步适配各类组件,例如支持与Jenkins、云效、coding等CI/CD pipeline的集成,适配各类中间件、分布式框架,支持HTTP、socket等各类协议。
此外,在今年上半年发布的版本中,雳鉴IAST还新增了API自动发现功能。目前市面上大多数IAST仍然无法很好地解决测试覆盖面问题。雳鉴IAST的API自动发现技术,依靠运行在应用内部的插桩Agent,高效获取应用对外的API接口。客户可在雳鉴服务端直观查看所有接口,以及已测试和下一步需测试的接口列表,保证测试结果覆盖面。
雳鉴IAST获得了很多客户与第三方机构的推荐与认可。2021年,雳鉴IAST被全球咨询机构Gartner推荐为IAST代表厂商,入选应用安全技术成熟度曲线报告;同时在关键信息基础设施技术创新联盟等单位主办的2021网信自主创新优秀产品评选活动中荣获“盘古奖”。默安科技也被第三方研究机构数世咨询认可为DevSecOps领域的主力玩家。目前雳鉴IAST已在政府、央企、银行、保险、证券、制造、房产、互联网等多个行业成功应用。
