CIS 2020 | 子芽：DevSecOps敏捷安全技术落地实践探索

• 检测范围可覆盖黑盒OWASP TOP10及白盒CWE TOP25主要漏洞及缺陷；
• 相比传统SAST/DAST，IAST精准度更高；
• IAST可以解决签名接口问题；
• IAST获取信息全面和精细，有利于指导研发；
• lAST更易于整合到DevSecOps CI/CD流程；
• 主被动IAST融合，将使IAST技术优势更加突出。

复杂的安全成因下，子芽认为，企业最需要优先考虑的DevSecOps实践基础应该是AST——白盒、黑盒、灰盒。白盒更加适合安全团队相对成熟且具备运营能力的甲方，在通用化方面不够完善，黑盒偏向漏扫，侧重于上线运营阶段，而灰盒（IAST）对于应用自身风险检测更有效果。

广义的IAST还包含了流量学习和日志分析等更多模式和能力，一般适用于超过50人的组织，可以在组织边界处配置流量镜像辅助插桩，了解测试资产。此外，子芽还介绍了被动的IAST——动态污点追踪，默认业务输入不可信，在污点汇聚点判断是否为高危操作，以及主动IAST——基于应用插桩探针的交互式缺陷定位，至于用户端流量代理技术更适合小规模网站的深度测试。

复杂的企业环境对IAST技术的落地提出了更多的要求。综合来看，落地需要重点结合企业实际环境。