悬镜安全作为国内DevSecOps理念的最佳实践者之一，在IAST灰盒安全测试技术方面有着丰富的落地实践经验。2020年9月5日（上周六），悬镜安全技术负责人宁戈受行业媒体安在邀约，参与“安在新媒体网络安全创新沙龙”，并在活动现场做《新一代灰盒安全测试技术与实践》主题演讲，向业界同行与媒体嘉宾详细介绍了DevSecOps和IAST技术核心点，以及在悬镜安全的落地实践案例，获得了现场一致好评！

图｜演讲人-悬镜安全技术负责人宁戈

开发安全面临的两个问题

（1）系统一定有未被发现的安全漏洞。程序员每写1000行代码，就会出现1个逻辑性缺陷。每个逻辑性的缺陷，或者若干个逻辑性缺陷，最终导致一个漏洞；因此“缺陷是天生的，漏洞是必然的”。

（2）现代应用都是组装的而非纯自研。78%-90%的现代应用融入了开源组件，平均每个应用包含147个开源组件，且67%的应用采用了带有已知漏洞的开源组件，软件供应链安全威胁迫在眉睫。

现代应用安全的风险面，主要来自第三方开源组件缺陷（如CNNVD/CNVD/CVD漏洞）和自研代码,Web通用漏洞（SQL注入、命令执行、XXE、XSS等OWASP TOP10）和业务逻辑漏洞（水平/垂直越权、短信轰炸、批量注册、验证码绕过等 ）。

因此，针对现代应用全面风险审查应考虑从第三方开源组件、自研代码通用漏洞、自研代码业务逻辑漏洞等维度综合审计。

接下来看应用开发模式的技术演进，我们可以看到最早是瀑布型开发模式，时间周期长，后来引入了敏捷开发，迅速获得市场反馈，现在是DevSecOps敏捷开发，从“瀑布模型——>敏捷模型——>DevSecOps”，覆盖设计、开发、测试、部署环节。这就要求我们的工具在DevOps中做到透明化。

传统的SDL面临的安全挑战主要来自3个方面：

• 业务先上线，安全问题后补救
• 安全责任过于依赖有限的安全团队资源
• 安全较缓慢，常置于流程之外，当版本更新迭代较快时，传统的安全手段限制业务交付

DevSecOps的5大新型特点：

• 责任：安全是每个人的责任，应该嵌入到从开发到运营的每一个环节
• 嵌入流程：开发运维
• 柔和嵌入研发运维流程，自动化
• 自动化流程，人更趋向于运营反馈处理
• 适用于周期较慢、迭代较快的业务

RSAC2018正式提出“Golden Pipeline”软件流水线实践体系，强调 CI/CD 自动化工具链支撑。

通过AST技术优劣势对比图我们可以看出IAST技术误报率极低、检出率高、使用成本低基本没有误报，同时更加偏向应用本身漏洞，也可发现难以回显带外。每一项技术都有自己的特点，任何一项新兴技术的出现，都有时代的背景和其适应的场景。

IAST灰盒安全测试技术

IAST灰盒安全测试技术主要通过IAST插桩、旁路流量镜像、主机流量嗅探、代理+VPN、主动收集/启发式爬虫等技术对Android/IOS/APP SERVER应用和Web网站进行渗透测试。

IAST灰盒安全测试技术的三大优势

• 低门槛。无需专业技术背景，普通测试人员透明众测完成业务安全测试
• 低侵入。旁路流量部署不影响正常业务流执行和通信效率
• 低消耗。透明部署，不影响正常测试工作和用户使用流程

插桩技术

• 在目标应用的关键类、方法中插入检测逻辑
• Java、NodeJs、.Net、PHP皆可依据自身语言特性插桩
• 以Java为例，利用Instrument特性，类加载时transform字节码
• 结合字节码操作框架，ASM、Javassist、Aspectj，修改类和方法

IAST流量代理及VPN技术。适合测试人员对单个网站进行深度渗透测试，不依赖测试系统语言环境，无须介入测试环境即可进行安全测试。

运行时OSS分析。更加侧重应用系统实际运行过程中动态加载的第三方组件及依赖，在此基础上实时检测组件中潜藏的各类安全漏洞及开源协议风险。

IAST技术总结

IAST技术特点

• 相比传统SAST/DAST，IAST精准度更高；

• IAST可以解决签名接口问题；

• IAST获取信息全面和精细，有利于指导研发；

• IAST更易于整合到DevSecOps CI/CD流程；

• 主被动IAST融合，将使IAST技术优势更加突出。

落地重点考虑事项

• 同时支持应用插桩和多种流量追踪技术，应对业务场景丰富、开发语言众多、部署环境复杂等场景；

• 支持自动化安装，协调CI/CD完成批量部署；

• 支持配置热加载、性能异常熔断机制；

• 支持SCA第三方开源组件运行时监测分析；

• 支持Jenkins 、Jira、CAS等第三方平台。

悬镜安全作为DevSecOps敏捷安全领导者，在该领域有着丰富的落地实践案例和完备的体系方案，自主研发的DevSecOps软件供应链全生命周期的高级威胁检测防御体系，为客户提供包括威胁建模、风险发现、威胁模拟、检测响应在内的全生命周期安全解决方案，覆盖编码阶段、测试阶段、预发布阶段、发布阶段、线上运维阶段。

当前，践行悬镜敏捷安全理念并采用悬镜DevSecOps智适应威胁管理体系解决方案的企业机构包括中国银行、中信建投证券、中国石化、中体彩、人民网、国家电网、北京大学等，客户覆盖金融、电信、政务、能源、教育等领域。