交互式应用程序安全测试 ： IAST 的全面购买者指南

指南 交互式应用程序安全测试：买方指南 |synopys.com|2 Web应用程序仍然是试图访问敏感数据的黑客的首选攻击面。根据Verizon的“2020年数据泄露调查报告” ，对Web应用程序的成功攻击占所有数据泄露的近一半（43％），是此类泄露的最大原因，是上一年的两倍多。1 组织显然需要在将其Web应用程序部署到生产中之前对其进行保护。但是，尽管开发和应用程序安全（AppSec）团队经常使用静态应用程序安全测试（SAST）和软件组成分析（SCA）解决方案来识别专有和开放源代码中的安全弱点和漏洞，但他们在代码或组件级别进行静态操作。许多漏洞只能通过在运行时测试和发布阶段动态测试应用程序来检测。 这就是为什么许多组织使用动态应用程序安全测试(DAST)或渗透测试的原因。DAST和渗透测试工具在QA或后期生产阶段运行，以检测使用SAST或SCA工具找不到的漏洞。 此外，虽然DAST和渗透测试可以识别安全漏洞，但它们无法精确定位包含漏洞的代码行。 交互式应用程序安全测试 这些挑战导致开发和安全团队寻求替代的动态AppSec测试解决方案，例如交互式应用程序安全测试(IAST)。IAST工具在各个测试阶段同时执行动态安全测试 ，而团队执行常规开发和QA测试。 IAST工具可以与持续集成（CI）和测试自动化工具以及敏捷和临时测试方法无缝集成，并快速生成分析结果，以识别漏洞所在的特定代码行。因此，开发人员可以快速解决问题并将其提交作为CI/CD或自动化工作流程的一部分。 更先进的IAST工具还包含SCA，以发现应用程序中易受攻击的第三方和开源组件。 IAST解决方案的主要优势 为开发团队提供可行的调查结果 与渗透测试相比，IAST已被证明可以将修复安全漏洞所需的时间减少65%。2原因很明确：IAST使开发人员能够在开发过程中找到并修复漏洞。应用程序安全专家可以将自己从软件开发的关键路径中解脱出来，并将更多的时间花在战略安全计划上。 1Verizon，“2020年数据泄露调查报告”，https://enterprise.verizon.com/resources/reports/2020-data-break-investment-report.pdf。 2Forrester，“构建交互式应用程序安全测试的业务案例”，AmyDeMartine，2017年11月3日。 |synopys.com|3 SDLC早期的全面漏洞和安全风险报告 IAST使开发人员能够在测试时修复安全漏洞。这意味着在将Web应用程序部署到生产环境之前查找并修复运行时漏洞。“向左移动”-在集成构建和测试阶段的早期进行安全测试-缩短了测试周期，节省了大量成本和资源，同时降低了安全风险。 低假阳性率 IAST解决方案可自动验证结果，从而确保高度的准确性。它们不会返回大量的误报，这些误报需要长时间的手动审核、故障排除和其他扫描才能解决。IAST 允许组织将其安全资源集中在更困难的关键案例漏洞上，这些漏洞需要专门的专业知识来识别和验证。 无缝集成到自动化开发和测试环境中 IAST解决方案无缝集成到CI/CD管道中，并以敏捷和DevOps所需的速度运行。安全和开发团队都受益于将IAST集成到SDLC中，尤其是一个IAST 一目了然：IAST的好处 •SDLC中的安全测试“左移” •快速分诊的准确结果（低假阳性率） •查明漏洞的来源 •无缝集成到当前的SDLC、敏捷和CI/CD管道中 •以较少的成本和时间进行早期补救 工具，它提供了对易受攻击组件的SCA洞察，以及上下文电子学习，以帮助开发人员在工作中学习安全性。 在IAST工具中查找什么 在选择IAST工具时，需要考虑许多因素，也有少数供应商可供选择。无论您的组织选择哪种IAST解决方案，都需要寻找几个最低要求。 更新了符合标准的安全仪表板 无论您是关注PCIDSS、OWASPTop10、GDPR、SANS/CWE还是其他合规性标准，您的组织都需要深入了解安全风险、趋势和覆盖范围，以及运行 Web应用程序和服务（包括专有代码和开源组件）的安全合规性。 快速、准确和全面的结果-开箱即用 低误报率意味着您花费更少的时间来查找和修复漏洞。您的IAST工具应该提供开箱即用的功能，这样您就不会浪费时间配置和调整工具来满足您的要求。 实时识别和报告漏洞 IAST解决方案应自动验证检测漏洞，并立即按严重级别对漏洞进行优先级排序，以便开发人员和AppSec团队可以将时间和资源集中在对他们最重要的关键漏洞上。 敏感数据跟踪 需要符合PCIDSS或GDPR等关键行业安全标准的组织需要一个IAST工具，让他们定义他们希望在其应用程序中自动跟踪和保护的敏感数据的类型。 在现有的SDLC、敏捷和DevOps工作流程中易于部署 Web应用程序和DevOps团队依赖于敏捷开发和自动化。选择与标准CI、测试和QA工具无缝集成的应用程序安全工具。 企业级SCA二进制分析集成 开源和第三方组件、库和框架在Web应用程序中越来越普遍。您的IAST工具必须提供对开源安全漏洞和许可证类型的可见性，并确保您符合许可证要求。 详细的安全指导和补救建议 IAST解决方案应该为开发人员提供有关漏洞的详细和上下文信息，这些漏洞在代码中的位置以及如何修复它们。 对现代技术的最佳支持 越来越多的组织正在使用API，微服务和无服务器架构来实现业务创新的速度。IAST工具应帮助团队检测和跟踪数据流以及使用的任何污染数据。 •许可证费用是多少？ •供应商在AppSec领域有什么声誉？ •供应商可以为支持开发人员和一般技术支持提供哪些专业知识或资源？ •IAST工具支持哪些编程语言和框架？ •IAST工具与第三方工具的集成情况如何？ •IAST工具是否提供检测结果的实时验证和优先排序？ •IAST工具是否提供实时、持续的反馈以及代码行洞察，以便开发、安全或DevOps团队及时进行补救 ？ •IAST工具是否支持基于Web、基于云和微服务应用的测试？ •IAST工具是否提供您的团队所需的情境电子学习？ •IAST工具支持哪些法规和合规标准？ synopys.4 |synopys.com|5 请求演示 了解Seeker如何帮助您的组织保持速度，同时最 大限度地提高安全性 寻求者:业界领先的IAST解决方案 Seeer®是Syopsys屡获殊荣的IAST工具，可帮助开发，QA，DevOps和安全团队自动执行现代应用程序（基于Web，基于云，基于微服务等）的安全测试。).这是业界首个具有专利主动验证和敏感数据跟踪功能的IAST解决方案。它准确，易于使用，并且可以扩展以支持企业需求，同时实时识别和验证漏洞。在其他IAST解决方案停止检测和报告的地方，Seeer通过自动验证和确定发现的优先级更进一步。它会立即报告对您的组织至关重要的漏洞。 集成 与CI/CD工作流集成 广泛的WebAPI集以及与Jira、Jenkins、Slack等的开箱即用集成 自动化 在功能测试期间自动 执行安全测试 高度可扩展且易于部署 准确 高度准确-识别最严重的漏洞 专利验证引擎+微服务和敏感数据跟踪 可采取行动 为开发人员提供特定的 补救指导 将漏洞向下跟踪到代码行 无论您组织的应用程序测试和安全成熟度如何，Seeker都可以使您受益。 •它是理想的入门工具，将随着组织的测试需求而增长 •它有助于在手动和/或功能测试期间发现漏洞，减少对额外安全测试和扫描周期的需要 •它集成到CI/CD管道中，如果检测到严重的安全漏洞，则可以自动使构建失败 |synopsys.com|6 Synopsys的区别 Syopsys帮助开发团队构建安全、高质量的软件，最大限度地降低风险，同时最大限度地提高速度和生产力。Syopsys是应用程序安全领域公认的领导者，提供静态分析、软件组成分析和动态分析解决方案，使团队能够快速找到并修复专有代码、开源组件和应用程序行为中的漏洞和缺陷。借助行业领先的工具，服务和专业知识的结合，只有Syopsys可以帮助组织在DevSecOps和整个软件开发生命周期中优化安全性和质量。 有关更多信息，请访问www.synopsys.com/software。 Synopsys,Inc. 185BerryStreet,Suite6500旧金山, CA94107美国 联系我们： 美国销售额：800.873.8193 国际销售：+1415.321.5237电子邮件：sig-info@synopsys.com ©2021Synopsys,Inc.保留所有权利。Synopsys是Synopsys,Inc.在美国和其他国家的商标。Synopsys商标列表可在www.synopsys.com/copyright.html上获得。此处提及的所有其他名称均为其各自所有者的商标或注册商标。2021年2月