日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

隨著數(shù)字化發(fā)展，安全變得越來越重要，尤其是對(duì)企業(yè)來說，安全風(fēng)險(xiǎn)幾乎無處不在。作為全球第一款開源的IAST產(chǎn)品，洞態(tài)IAST支持SaaS訪問及本地化部署，基于“值匹配算法”和“污點(diǎn)跟蹤算法”，幫助企業(yè)在應(yīng)用上線前發(fā)現(xiàn)應(yīng)用安全風(fēng)險(xiǎn)。

近日，InfoQ記者在QCon 2021全球軟件開發(fā)大會(huì)·上海站上，采訪了火線安全聯(lián)合創(chuàng)始人盧中陽(yáng)，和他聊了聊企業(yè)應(yīng)用安全的話題。

InfoQ & 火線安全

Q：您好，盧老師，請(qǐng)您先簡(jiǎn)要介紹一下自己和火線安全

A：大家好，我是盧中陽(yáng)，火線安全的聯(lián)合創(chuàng)始人。火線安全是一家基于社區(qū)的云安全公司，主要運(yùn)營(yíng)火線安全平臺(tái)和洞態(tài)IAST，通過自研的自動(dòng)化測(cè)試工具和海量的網(wǎng)絡(luò)安全專家，幫助企業(yè)保障應(yīng)用生命全周期的安全。

在2018 年，我們開始聚焦于網(wǎng)絡(luò)安全漏洞領(lǐng)域，研發(fā)了黑盒掃描器。之后，開始籌備火線安全平臺(tái)，于2020 年 4 月正式上線。我們對(duì)火線安全平臺(tái)的定義是白帽子開發(fā)者社區(qū)，通過給白帽們提供火線自研工具，提高其挖洞效率，為企業(yè)提供更好的安全眾測(cè)服務(wù)?；谄脚_(tái)數(shù)據(jù)，不斷迭代產(chǎn)品。后來，IAST技術(shù)與市場(chǎng)前景進(jìn)入我們的目光，因此，在去年便開始研發(fā)可用于DevSecOps的IAST工具，于今年9月1日開源發(fā)布。

2020 年 6 月，我們拿到陸奇博士的天使投資，后續(xù)又獲得經(jīng)緯中國(guó)、五源資本投資。

Q：您覺得企業(yè)為什么會(huì)越來越重視應(yīng)用安全？

A：我覺得有幾點(diǎn)原因：第一，法律層面上，《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》發(fā)布并施行。以前，企業(yè)的應(yīng)用和數(shù)據(jù)發(fā)生泄露，大家覺得企業(yè)也是受害者?，F(xiàn)在，國(guó)家從法律層面明確規(guī)定：企業(yè)有義務(wù)保護(hù)其應(yīng)用和應(yīng)用上的用戶數(shù)據(jù)安全。如果因安全事故導(dǎo)致數(shù)據(jù)泄露，企業(yè)負(fù)責(zé)人要承擔(dān)法律責(zé)任，這是一個(gè)比較大的變化。

第二，應(yīng)用的開發(fā)和部署方式發(fā)生了比較大的變化。以前，一個(gè)應(yīng)用單獨(dú)跑在一臺(tái)機(jī)器上，只做好對(duì)它的防護(hù)就行。但是現(xiàn)在，應(yīng)用和應(yīng)用間以及服務(wù)器與服務(wù)器間的調(diào)用與連接變得越來越多。比如，有些App會(huì)用到第三方登錄系統(tǒng)，如果接入的第三方登錄系統(tǒng)本身存在安全問題，那么應(yīng)用的安全基本不可能得到任何保障。因此，安全不再是一個(gè)認(rèn)證或一個(gè)證書的問題，而應(yīng)該是應(yīng)用本身的一個(gè)產(chǎn)品屬性，也是評(píng)價(jià)應(yīng)用價(jià)值的一個(gè)非常重要的指標(biāo)。同樣，對(duì)一些服務(wù)提供者來說，如果提供的服務(wù)導(dǎo)致甲方發(fā)生安全事故，這個(gè)責(zé)任怎么認(rèn)定，在后續(xù)合作過程中，如何讓甲方認(rèn)可供應(yīng)商產(chǎn)品和服務(wù)的安全性，這也是企業(yè)需要思考的問題。

第三，信息化。信息化發(fā)展到今天，整個(gè)信息化程度已經(jīng)很高，企業(yè)內(nèi)部的應(yīng)用和系統(tǒng)越來越多，接入的第三方系統(tǒng)也越來越多，應(yīng)用所承載的數(shù)據(jù)價(jià)值變得非常大?？赡芤粋€(gè)很小的漏洞，就會(huì)導(dǎo)致非常大的安全事故，這也是企業(yè)越來越重視應(yīng)用安全一個(gè)非常重要的原因。

Q：針對(duì)應(yīng)用安全風(fēng)險(xiǎn)，火線開發(fā)了洞態(tài)IAST這款產(chǎn)品，希望幫助企業(yè)在應(yīng)用上線前便發(fā)現(xiàn)安全風(fēng)險(xiǎn)，當(dāng)初為什么會(huì)考慮開發(fā)這款產(chǎn)品？

A：最初，我們公司內(nèi)部owefsad同學(xué)分享了IAST的應(yīng)用場(chǎng)景。我們覺得IAST 應(yīng)用的場(chǎng)景，不管從檢測(cè)準(zhǔn)確度上，還是檢測(cè)效率上，它都是一個(gè)非常優(yōu)秀的技術(shù)方案，一個(gè)非?？岬漠a(chǎn)品方向，所以很快決定進(jìn)行產(chǎn)品化，把它做出來?，F(xiàn)在owefsad是洞態(tài)IAST產(chǎn)品線的負(fù)責(zé)人。

Q：洞態(tài)是全球首個(gè)開源 IAST 產(chǎn)品，火線為什么會(huì)選擇開源發(fā)布？

A：其實(shí)我們內(nèi)部也討論過這個(gè)問題，也和一些行業(yè)專家探討過。最開始，大家覺得這是一個(gè)非常新的技術(shù)，還可以做成產(chǎn)品，為什么不直接拿來賺錢？為什么要開源？畢竟，我們是一家商業(yè)公司。

但是，從產(chǎn)品角度而言，好的產(chǎn)品不再是工程師和產(chǎn)品經(jīng)理一起思考需求，然后開發(fā)出來的，特別是to B產(chǎn)品，一個(gè)非常優(yōu)秀的產(chǎn)品應(yīng)該是在真實(shí)場(chǎng)景中，一點(diǎn)一滴打磨出來的。我們希望通過開源的方式，把甲方客戶、安全的從業(yè)者連接在一起，在諸多的安全場(chǎng)景下，做出更好的產(chǎn)品，并通過開源的方式回饋給行業(yè)。 

現(xiàn)有的一些安全掃描工具，其效率和準(zhǔn)確性還不夠好，我們希望通過開源的方式，讓國(guó)內(nèi)更多廠商和企業(yè)通過使用洞態(tài) IAST 這款產(chǎn)品提升公司內(nèi)部的安全能力。

Q：洞態(tài)IAST作為一款交互式應(yīng)用程序安全測(cè)試工具，其典型應(yīng)用場(chǎng)景有哪些？

A：洞態(tài)IAST提供了非常專業(yè)的漏洞檢測(cè)能力，可以用于開發(fā)過程中，對(duì)應(yīng)用進(jìn)行上線前的安全檢查。同時(shí)我們也提供了相應(yīng)插件，可以讓開發(fā)人員在編寫代碼過程中完成代碼漏洞檢測(cè)。另外，合作廠商也可以基于開源版本，搭建自己內(nèi)部的DevSecOps流程，將洞態(tài)IAST作為里面某一環(huán)的工具。或者基于IAST和一些沉淀的調(diào)用鏈數(shù)據(jù)，做有特色的邏輯漏洞檢測(cè)，這也是一種比較好的應(yīng)用場(chǎng)景。

Q：對(duì)企業(yè)來說，洞態(tài)IAST如何做到在應(yīng)用開發(fā)階段實(shí)現(xiàn)低成本、高產(chǎn)出的代碼漏洞檢測(cè)？

A：安全掃描工具一般有白盒和黑盒，基于原代碼的白盒檢測(cè)工具在某些情況下可能有誤報(bào)，一般會(huì)配合安全工程師一起來使用白盒產(chǎn)品，使用成本相對(duì)較高。黑盒會(huì)發(fā)各種包測(cè)試，這個(gè)接口是不是有漏洞，不斷發(fā)出各種請(qǐng)求，這會(huì)帶來一些臟數(shù)據(jù)，測(cè)試過程比較長(zhǎng)。

IAST通過在服務(wù)端部署Agent探針的方式，收集應(yīng)用程序運(yùn)行時(shí)函數(shù)執(zhí)行、數(shù)據(jù)傳輸，并與掃描器端進(jìn)行實(shí)時(shí)交互，高效、準(zhǔn)確的識(shí)別安全缺陷及漏洞，同時(shí)可準(zhǔn)確確定漏洞所在的代碼文件、行數(shù)、函數(shù)及參數(shù)。IAST會(huì)檢測(cè)執(zhí)行時(shí)的每一行代碼，以及應(yīng)用程序響應(yīng)每個(gè)HTTP(S)請(qǐng)求時(shí)的堆棧跟蹤、內(nèi)存值和實(shí)際數(shù)據(jù)流。

IAST在企業(yè)應(yīng)用測(cè)試過程中，可以直接拿到最真實(shí)代碼的調(diào)用鏈，從最開始參數(shù)的請(qǐng)求到最后執(zhí)行的一些代碼。因此，IAST的檢測(cè)效率比較高，準(zhǔn)確度也比較高，無臟數(shù)據(jù)、支持?jǐn)?shù)據(jù)包加密/一次性簽名/驗(yàn)證碼等不支持重放的場(chǎng)景下的漏洞檢測(cè)，非常適合用于DevOps流程中，以無侵入的方式對(duì)應(yīng)用進(jìn)行安全掃描。

Q：據(jù)悉，洞態(tài)IAST目前支持Java、Python兩種編程語(yǔ)言的漏洞檢測(cè)，未來會(huì)考慮加入對(duì)其他編程語(yǔ)言的支持嗎？

A：我們未來會(huì)支持所有主流的編程語(yǔ)言，比如PHP、Go、C#等語(yǔ)言。

Q：DevSecOps的落地，除了使用IAST這樣的工具外，還有哪些方面對(duì)企業(yè)很重要？

A：一是文化和認(rèn)知，DevSecOps的安全開發(fā)理念 讓開發(fā)、安全和運(yùn)維一起對(duì)安全負(fù)責(zé)，盡可能讓安全問題在開發(fā)和測(cè)試階段就暴露出來，不像之前責(zé)任劃分那么明確。二是流程，原來的一些安全工具對(duì)開發(fā)和測(cè)試工作造成比較大的阻礙，影響其工作，侵入性比較強(qiáng)，這也是比較大的問題，而洞態(tài)IAST以一種比較柔和的方式輔助整個(gè)DevSecOps更好的落地，因此選擇合適的工具也比較重要。