同程旅行是最先部署洞态 IAST 的企业之一。在未部署 IAST 前,同程旅行的漏洞检测修复速度一定程度上拖慢了应用更新迭代的进度,急需一款高效的自动化漏洞检测工具来提升安全能力。经过一系列的调研与考察,我们感叹于洞态 IAST 强大的检测能力和优越的兼容性,最终选定洞态 IAST 作为自动化漏洞检测的主力工具,整个部署调优的过程也得到了洞态团队的全力支持。以下为同程旅行的 IAST落地实践:
01 安全困境
随着敏捷开发和 DevOps 在同程软件开发上的应用,软件开发明显提效增速,但也给安全部门带来了较大压力。在这一背景下,同程面临着以下问题:
• SAST、DAST、人工渗透测试、人工代码审计无法跟上软件开发的速度与规模
在这一困境下,安全如何更好地嵌入应用开发流程?
02 自动化漏洞检测工具调研
在自动化漏洞检测工具调研过程中,我们首先对 SAST、DAST 和 IAST 进行了对比。综合比较来看,IAST 明显优于 SAST 和 DAST。
针对 IAST 的专项调研,其实我们率先考虑的是采用商用型还是开源型。促使我们选择开源型 IAST 的主要原因在于开源型工具可针对自身业务场景进行二次开发,此时,洞态 IAST 已进入我们的考察视野中,并最终决定采用。
领先的技术架构
强大的检测能力
• API 检测全面覆盖
开源项目
03 同程 IAST 落地推广
部署架构
Agent 安装
IAST 测试
IAST 推广
Ⅰ. 发挥安全的主动性,主动贴合业务流程
• bug 修复后,测试反馈安全复测,复测通过,IAST 平台漏洞闭环
对 IAST 的未来规划
3. 缺点:部分中低危漏洞存在误报现象(洞态解释说明:因为同程目前部署的是 v1.0.3 版本,新版本对误报现象已有很大改善了哦)
洞态:同程旅行的 IAST 实践突出亮点在于其安全理念。同程安全部门强调发挥安全的主动性,主动去适应业务的变化,主动培养同事的安全意识,让整个企业内部达成 “安全不是流程的关卡而是齿轮,串联起应用整个生命周期” 的安全共识,这对于 IAST 的推广使用能达到事半功倍的效果。此外,同程安全部门还能贴合使用场景,挖掘 IAST 的潜力,对 IAST 进行自动化部署、自动化复测、结果产出更贴合业务的改造,相信洞态 IAST 在同程旅行内能发挥其最大的价值。
关于洞态 IAST
原文始发于微信公众号(火线安全平台):同程旅行 IAST 落地实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论