安全左移|洞态IAST构建高效DevSecOps流程

9月25日，由CNCF大使、开源意见领袖共同发起的，国内最大的独立第三方云原生终端用户和泛开发者社区——云原生社区，在腾讯大厦成功举办深圳站首届MeetUp。

本届MeetUp聚焦云原生，火线安全洞态产品负责人董志勇分享了“使用IAST构建高效的DevSecOps流程”，从IAST的时代需要到IAST含义，从洞态IAST的功能与实现原理到洞态IAST与DevOps的高效融合均做了详细介绍。

01 IAST的时代需要

安全测试是应用开发的必要环节

自2016年以来，随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律相继颁布并施行，企业安全运行能力要求不断提高。

此外，网络攻击频发也引起网络界的关注。被勒索软件勒索、数据泄露、服务器被入侵等在近年来出现的网络安全问题中占据极大比例，这些都是应用本身安全性不足所导致的。

安全测试成为应用开发的必要环节。

IAST是安全测试的最优选择

在瀑布开发与敏捷开发时代，应用迭代速度相对较慢，企业安全团队人员数量足够cover住应用开发上线的测试频率。

但随着开发流程理念的更新，DevOps逐渐出现并成为主流。DevOps在“提高企业生产效率、实现应用迭代大加速“的同时，也带来了“安全测试任务密度变大，待上线应用的数量与安全测试人员数量严重不对等”的问题。原有的安全测试手段已不合时宜，高效可靠的自动化检测成为安全团队的不二之选。

虽然SAST和DAST也可以承担自动化检测的角色，但二者都具有致命的缺点。相比之下，IAST则是不偏科，且各方面都突出的优等生。目前来说，IAST才是自动化安全检测的最优选择。

DAST、SAST和IAST对比

02 洞态IAST

IAST全称为 “交互式应用程序安全测试” ，通过利用Agent来监控应用程序运行时的函数执行情况，采集相关数据，与服务端进行实时交互，从而高效、准确地识别出应用程序中的漏洞。同时可准确定位到漏洞所在的文件、行数、方法及参数，方便开发团队及时修复漏洞。

洞态IAST由火线安全于9月1日正式开源发布，是全球第一款开源IAST产品。凭借高效的检测效率、极高的检出率、极低的误报率、极少的脏数据以及极详细的漏洞详细，洞态IAST在发布之际便受到了诸多厂商的关注。

洞态产品架构

检测原理

作为一款创新的漏洞检测产品，洞态IAST的技术优势十分显著。 洞态完全基于“值匹配算法“和”污点跟踪算法”对漏洞进行检测。这种算法检测准确率高，无需采集和重放流量，可以适配各种场景下的漏洞检测（如：API网关、分布式、微服务等架构下的后端服务漏洞检测），还不会产生脏数据，干扰正常的开发测试流程。

对于检测发现的漏洞，洞态根据外部可控数据的传播过程，完整的还原漏洞触发流程，帮助DevOps团队快速理解漏洞、定位漏洞，更好的解决漏洞。通过赋能研发人员，提高漏洞修复的效率。

和业内同类产品“重Agent端、轻服务端”的架构不同，洞态的Agent端仅用于实现数据监听，漏洞检测全部在服务端完成。这种方法的好处是Agent端代码和逻辑简单，单点故障率更低也极少需要升级，降低了维护成本。另外，传统IAST产品对于未检测的漏洞都在Agent端直接丢弃，产品出现新的检测策略后，需要重新发起应用的测试，而洞态IAST将检测数据保存在服务端，可以轻松在服务端进行回归测试。

洞态功能优势

● 支持多种漏洞检测

● 依赖组件的供应链风险检查

洞态IAST支持应用程序内部所依赖组件的供应链风险检查，一是支持对应用程序内部所使用的第三方组件进行梳理：当某个组件爆发漏洞时，可以利用这个组件，快速反查出企业内部运用此组件的应用和服务器。快速响应，避免企业内部程序受到外部攻击；

二是针对已经爆发的漏洞：依靠内部漏洞库，企业安全人员便可以知晓使用的组件是不是有风险，从而及时升级组件，避免漏洞风险的出现。

●支持各种业务场景

传统Web应用；

前后端分离场景下的漏洞检测；

验证码场景下的漏洞检测；

数据包加密场景；

防重放签名等场景；

分布式架构下的漏洞检测；

微服务架构下的漏洞检测；

●API Sitemap

类Swagger的API Sitemap，方便各部门人员查看；

提供测试覆盖率，精确的反馈出未测试到的接口；

准确的参数名称及数据类型，可用于直接发送HTTP请求，提高接口覆盖率；

●统一数据格式，实现离线检测

洞态IAST将探针上报的数据格式进行了统一，通过利用不同语言返回的数据，构建数据底座。基于数据底座，对数据进行分析，实现漏洞的离线检测。

●支持检测策略自定义

企业安全人员可通过自定义策略，快速检测对应漏洞，并可通过增加策略类型实现检测类型的补充（针对新发现的漏洞）。

03 洞态IAST+DevOps

IAST+Kubernetes

应用运行时，无状态地安装于应用程序的探针集群便会采集对应的数据，并发送到OPENAPI。当探针集群数量过大时，基于探针集群数量，横向扩展OPENAPI服务数量。此时，OPENAPI足够cover探针集群的流量，后续的存储集群与分析引擎也将支持弹性扩容，并做安全风险检测。

洞态IAST K8S部署

Agent+Docker

通过构建DongTai的基础镜像，实现自动安装探针。

Agent+Kubernetes

基于数据底座，通过sidecar方式配置DongTai的容器，自动化安装探针。

洞态IAST+DevOps DevOps中有各种各样的工具，洞态IAST所有的数据都可通过OpenAPI接口进行操作，快速与CI/CD集成，实现探针的下载、部署、获取风险等。

洞态IAST是火线安全于2021年9月1日发布的全球第一款开源专业IAST产品，企业可根据需要调配以适应自身业务和使用场景，我们也期待大家参与开源洞态IAST开源项目，一起来完善它。