子芽:研发一款好用的代码安全疫苗是悬镜的长期责任
近日,金融行业IAST技术实践活动在深圳圆满召开,本次活动由悬镜安全协办,其创始人兼CEO子芽受邀出席本次活动并带来《DevSecOps 敏捷安全技术落地实践探索》为主题的技术分享,现场详细介绍了DevSecOps及其核心技术的落地实践,为行业用户在该领域的创新实践带来了新的思考。以下内容根据子芽演讲PPT整理。
系统一定有未被发现的安全漏洞。程序员每写1000行代码,就会出现1个逻辑性缺陷,每个逻辑性的缺陷,或者若干个逻辑性缺陷,最终都将导致一个漏洞;因此“缺陷是天生的,漏洞是必然的。”
现代应用都是组装的而非纯自研。78%-90%的现代应用融入了开源组件,平均每个应用包含147个开源组件,且67%的应用采用了带有已知漏洞的开源组件,软件供应链安全威胁迫在眉睫。
软件规模持续扩大,功能越来越多,越来越复杂;
软件模块复用,导致安全漏洞延续,如果组件本身有漏洞则会形成缺陷传染
软件扩展模块带来的安全问题,比如留置的第三方插件接口等。
业务先上线,安全问题后补救;
安全责任过于依赖有限的安全团队资源;
安全较缓慢,常置于流程之外,当版本更新迭代较快时,传统的安全手段限制业务交付。
误报及漏报高于主动IAST;
无数据重放、无脏数据;
支持防重放、带签名、加密接口。
精准度更高,更易于指导研发修复;
支持漏洞利用、漏洞复现;
无法处理签名加密接口
检测范围可覆盖黑盒OWASP TOP10及白盒CWE主要漏洞及缺陷;
相比传统SAST/DAST,IAST精准度更高;
IAST可以解决签名接口问题;
IAST可以检测非HTTP/HTTPS协议,如RPC协议更使用于微服务场景;
IAST获取信息全面和精细,有利于指导研发;
IAST更易于整合到DevSecOps CI/CD流程;
主被动IAST融合,将使IAST技术优势更加突出。
同时支持应用插桩和多种流量追踪技术,应对业务场景丰富、开发语言众多、部署环境复杂等场景;
支持自动化安装,协调CI/CD完成批量部署;
支持配置热加载、性能异常熔断机制;
支持SCA第三方开源组件运行时监测分析;
支持Jenkins、Jira、CAS等第三方平台;
支持全流程闭环漏洞管理,包括从漏洞发现、问题沟通、修复整改、漏洞复查及趋势分析等维度;
通过开放接口支持自定义安全过滤函数和清洁函数;
支持IPV6和国产系统环境。