应用安全测试之SAST,DAST,IAST和RASP

2023-10-18 14:30

本文主要是介绍应用安全测试之SAST,DAST,IAST和RASP,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

SAST,DAST,IAST和RASP

据估计,90%的安全事件是由攻击者利用已知的软件错误引起的。毋庸置疑,在软件开发阶段消除这些漏洞可以减少当今许多组织面临的信息安全风险。为此,可以使用多种技术来帮助开发人员在将其纳入最终软件版本之前发现安全漏洞。它们包括SAST,DAST,IAST和RASP

本文聊一聊代码安全审计中的,白盒,黑盒,交互安全测试,以及RASP即运行时应用程序安全保护。

 

SAST与DAST

SAST或静态应用程序安全性测试( 也称为“白盒测试”)已经存在了十多年。它使开发人员可以在软件开发生命周期的早期,在应用程序源代码中找到安全漏洞。它还可以确保符合编码准则和标准,而无需实际执行基础代码。

DAST或动态应用程序安全性测试( 也称为“黑匣子”测试)可以发现正在运行的应用程序(通常是Web应用程序)中的安全漏洞和弱点。它通过在应用程序上采用故障注入技术(例如将恶意数据馈送到软件中)来识别常见的安全漏洞(例如SQL注入和跨站点脚本)来做到这一点。DAST还可以聚焦于无法通过静态分析识别的运行时问题,例如身份验证和服务器配置问题,以及仅当已知用户登录时才可见的缺陷。

SAST和DAST通常串联使用

SAST和DAST通常串联使用,因为SAST不会发现运行时错误,而DAST不会标记编码错误,至少不会下降到代码行号。在查找代码行中的错误(例如弱随机数生成)时,SAST的性能很好,但是在查找数据流缺陷方面通常效率不高。另外,SAST解​​决方案因大量误报而令人生厌。这里有一个reshift,这是一个免费的静态安全测试工具,它使用我们专有的机器学习算法更快地对误报进行分类,如果您有兴趣的话,请在此处查看。

抽象解释: 通过称为抽象解释的方法,在减少或完全消除误报方面取得了一些成功。但是,为了获得最佳结果,需要使用应用程序的域为代码量身定制抽象解释算法,包括应用程序的体系结构,如何使用某些数值算法以及操作的数据结构类型。

 

尽管SAST的缺陷,但它仍然是开发团队的最爱。他们喜欢它,使他们可以在代码级别扫描项目,这使单个团队成员更容易进行技术推荐的更改。它还使他们能够在开发过程的早期发现缺陷,从而有助于降低因在过程结束时解决问题而导致的成本和连锁反应。

此外,SAST可以自动 透明地集成到项目的工作流程中。这消除了通常与测试应用程序有关的安全性的麻烦,并且与DAST形成鲜明对比,DAST对于大型项目,需要创建特殊的基础结构,执行特殊的测试以及应用程序的多个实例与不同的输入数据并行运行。

但是,DAST可以理解参数和函数调用,因此它可以确定调用是否按其应有的方式运行。SAST无法检查调用,并且在大多数情况下,无法检查参数值。

交互式应用程序安全测试(IAST)

IAST或交互式应用程序安全性测试。 由于SAST和DAST都是较旧的技术,因此有人认为它们缺乏保护现代Web和移动应用程序所需的资源。例如,SAST很难处理现代应用程序中的库和框架。这是因为静态工具只能看到它们可以遵循的应用程序源代码。而且,库和第三方组件通常会导致静态工具阻塞,从而产生“丢失的源”和“丢失的接收器”消息。框架也是如此。在API,Web服务或REST端点上运行静态工具,由于它们不了解框架,因此不会发现任何错误。

IAST旨在通过结合两种方法的要素来解决SAST和DAST的缺点。IAST将代理放置在应用程序中,并在应用程序中,开发过程中的任何位置,IDE,连续集成环境,QA甚至生产环境中的任何位置实时进行所有分析。

由于IAST代理在应用内部运行,因此它可以将其分析应用于所有应用的所有代码;其运行时控制和数据流信息;其配置信息;HTTP请求和响应;库,框架和其他组件;和后端连接信息。与SAST或DAST相比,对所有信息的访问使IAST引擎可以覆盖更多代码,产生更准确的结果并验证更广泛的安全规则。

 

运行时应用程序安全保护(RASP)

RASP或运行时应用程序安全保护 与IAST,RASP或运行时应用程序安全保护一样,它在应用程序内部运行,但它不是测试工具,而是安全性工具。它已插入到应用程序或其运行时环境中,并且可以控制应用程序的执行。即使网络的外围防御遭到破坏,并且应用程序包含开发团队遗漏的安全漏洞,RASP仍然可以保护应用程序。RASP允许应用程序对其自身进行连续的安全检查,并通过终止攻击者的会话并警告防御者攻击来对实时攻击做出响应。

RASP特有的一个问题是,它可能在开发团队中造成虚假的安全感。他们可能不遵循安全最佳实践的思想,即“如果我们错过了某些东西,RASP将会接手。”


IAST和RASP之类的技术存在的问题是,它们可能会对应用程序性能产生不利影响,尽管该技术的增强对性能的影响很小。RASP特有的一个问题是,它可能在开发团队中造成虚假的安全感。他们可能不遵循安全最佳实践的思想,即“如果我们错过了某些东西,RASP将会接手。” 但是,即使RASP发现了缺陷,开发团队仍然必须解决问题,而当他们这样做时,可能必须将应用程序脱机,这会花费组织时间,金钱和客户信誉。

不管在SAST,DAST,IAST和RASP之类的技术中遇到什么挑战,使用它们都可以创建更安全的软件,并且比将所有安全性测试拖到开发过程的尾部,以更快,更经济高效的方式进行操作。

这篇关于应用安全测试之SAST,DAST,IAST和RASP的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/233167

相关文章

PostgreSQL的扩展dict_int应用案例解析

《PostgreSQL的扩展dict_int应用案例解析》dict_int扩展为PostgreSQL提供了专业的整数文本处理能力,特别适合需要精确处理数字内容的搜索场景,本文给大家介绍PostgreS... 目录PostgreSQL的扩展dict_int一、扩展概述二、核心功能三、安装与启用四、字典配置方法

Java 线程安全与 volatile与单例模式问题及解决方案

《Java线程安全与volatile与单例模式问题及解决方案》文章主要讲解线程安全问题的五个成因(调度随机、变量修改、非原子操作、内存可见性、指令重排序)及解决方案,强调使用volatile关键字... 目录什么是线程安全线程安全问题的产生与解决方案线程的调度是随机的多个线程对同一个变量进行修改线程的修改操

Python中re模块结合正则表达式的实际应用案例

《Python中re模块结合正则表达式的实际应用案例》Python中的re模块是用于处理正则表达式的强大工具,正则表达式是一种用来匹配字符串的模式,它可以在文本中搜索和匹配特定的字符串模式,这篇文章主... 目录前言re模块常用函数一、查看文本中是否包含 A 或 B 字符串二、替换多个关键词为统一格式三、提

Java MQTT实战应用

《JavaMQTT实战应用》本文详解MQTT协议,涵盖其发布/订阅机制、低功耗高效特性、三种服务质量等级(QoS0/1/2),以及客户端、代理、主题的核心概念,最后提供Linux部署教程、Sprin... 目录一、MQTT协议二、MQTT优点三、三种服务质量等级四、客户端、代理、主题1. 客户端(Clien

使用Python进行GRPC和Dubbo协议的高级测试

《使用Python进行GRPC和Dubbo协议的高级测试》GRPC(GoogleRemoteProcedureCall)是一种高性能、开源的远程过程调用(RPC)框架,Dubbo是一种高性能的分布式服... 目录01 GRPC测试安装gRPC编写.proto文件实现服务02 Dubbo测试1. 安装Dubb

Python的端到端测试框架SeleniumBase使用解读

《Python的端到端测试框架SeleniumBase使用解读》:本文主要介绍Python的端到端测试框架SeleniumBase使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全... 目录SeleniumBase详细介绍及用法指南什么是 SeleniumBase?SeleniumBase

CSS中的Static、Relative、Absolute、Fixed、Sticky的应用与详细对比

《CSS中的Static、Relative、Absolute、Fixed、Sticky的应用与详细对比》CSS中的position属性用于控制元素的定位方式,不同的定位方式会影响元素在页面中的布... css 中的 position 属性用于控制元素的定位方式,不同的定位方式会影响元素在页面中的布局和层叠关

SpringBoot3应用中集成和使用Spring Retry的实践记录

《SpringBoot3应用中集成和使用SpringRetry的实践记录》SpringRetry为SpringBoot3提供重试机制,支持注解和编程式两种方式,可配置重试策略与监听器,适用于临时性故... 目录1. 简介2. 环境准备3. 使用方式3.1 注解方式 基础使用自定义重试策略失败恢复机制注意事项

Java中常见队列举例详解(非线程安全)

《Java中常见队列举例详解(非线程安全)》队列用于模拟队列这种数据结构,队列通常是指先进先出的容器,:本文主要介绍Java中常见队列(非线程安全)的相关资料,文中通过代码介绍的非常详细,需要的朋... 目录一.队列定义 二.常见接口 三.常见实现类3.1 ArrayDeque3.1.1 实现原理3.1.2

Python使用Tkinter打造一个完整的桌面应用

《Python使用Tkinter打造一个完整的桌面应用》在Python生态中,Tkinter就像一把瑞士军刀,它没有花哨的特效,却能快速搭建出实用的图形界面,作为Python自带的标准库,无需安装即可... 目录一、界面搭建:像搭积木一样组合控件二、菜单系统:给应用装上“控制中枢”三、事件驱动:让界面“活”