![专栏特辑 | 开发安全铁三角纵横谈(十八)安全监测工具漫谈]( "专栏特辑 | 开发安全铁三角纵横谈(十八)安全监测工具漫谈")
是分析你的源代码和git历史中的密码,防止密码泄露。
在源代码审计中有hardcode的审核,叫硬编码漏洞,跟密码检测比较接近。实际的密码检测会结合一些常见的应用如Github,以及常见的API认证等,发现相关的密码,防止密码泄露。
Amazon Web Services (AWS)
Google Cloud Platform (GCP)
Generic API key strings starting with api-
Fuzzing模糊测试,是指通过输入特殊的参数(比如:特别长,含特殊字符等)等,测试系统在面临预想之外的输入时,会不会发生系统崩溃等问题。
这种问题通常出现在没对参数进行合理检查,如长度限制等。
要想让模糊测试充分发挥作用,最好本身有自动化测试能力,在自动化测试脚本中,增加一些按特殊规则产生的随机参数,就能实现完美的模糊测试。
大部分模糊测试工具以源代码或者脚本形式存在,让开发团队进行针对性修改,以发挥最好的测试作用。
API模糊测试是针对API接口的参数进行特殊化处理,观察API会不会崩溃等的一种模糊测试,对API的安全比较重要。
这个是前面SCA软件成分分析中已经提到。在分析完软件中所包含的开源组件后,既可以根据组件信息去发现漏洞,也可以利用组件信息去分析该组件的开源许可证,发现许可证协议可能带来的风险。
国内大多数SCA软件都是包含这个功能的,不用再单独检测。
除Gitlab上列出的以上安全检测工具以外,还有两款工具值得讨论,IAST和RASP。
交互式应用安全测试(Interactive application security testing IAST)是一个在应用中自动化识别和诊断软件漏洞的技术。它的核心技术是插桩(Instrumented),叫插桩(Instrumented)式应用安全测试更能准确描述它的技术特点。IAST持续地从内部监控你应用中的代码和数据流,发现应用中存在的漏洞。IAST最显著的特性是它使用插桩来收集安全信息,直接从运行中的代码发现问题,不是源代码扫描(SAST),也不是HTTP 扫描(DAST)。插桩是利用WEB中间件,接触到运行代码,可以对运行代码进行审计,也可以在运行代码中插入收集数据流的代码,实现对运行的数据流检测。
可以通过对比来理解IAST、DAST、SAST的区别:
![专栏特辑 | 开发安全铁三角纵横谈(十八)安全监测工具漫谈]( "专栏特辑 | 开发安全铁三角纵横谈(十八)安全监测工具漫谈")
早期IAST只检测较少漏洞,漏报率高,误报率极低;现在国内的IAST产品检测漏洞种类越来越复杂,有些漏洞种类未必是IAST擅长的,导致现在IAST误报率也比较高,实用性反而变差。
原文始发于微信公众号(国舜股份):专栏特辑 | 开发安全铁三角纵横谈(十八)安全监测工具漫谈
评论