洞态IAST与黑盒白盒共建Devsecops.pdf

《洞态IAST与黑盒白盒共建Devsecops.pdf》由会员分享，可在线阅读，更多相关《洞态IAST与黑盒白盒共建Devsecops.pdf（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、洞态IAST与黑盒、白盒共建DevSecOps0102目录1 1 IASTIAST检测原理检测原理 2 2 洞态洞态IASTIAST架构设计架构设计3 3 灰盒、黑盒、白盒共建灰盒、黑盒、白盒共建DevSecOpsDevSecOps4 4 部署与落地部署与落地IAST检测原理0303 IAST检测原理IAST（Interactive AST，交互式扫描器）高频、高效、无脏数据应用运行态分析污点跟踪算法准确率高效率高无脏数据* 原理 效果覆盖度完整03 IAST检测原理 污点跟踪算法不可信数据采集不可信数据预处理不可信数据传播图数据调用链路查找decodeid_jspServiceputidid

2、getParameterexeccmd-iddecode_jspServiceputidgetParameterexeccmd-idididdecode_jspServiceputidgetParameterexeccmd-idididdecode_jspServiceputidgetParameterexeccmd-ididid洞态IAST架构设计0404洞态IAST架构设计整体架构类型架构分析一般IAST重Agent端+轻服务端数据监听和漏洞检测全部在Agent端完成。1.需频繁升级Agent端；2.未检测出漏洞的Agent端数据直接丢弃，若产品检测能力升级，需联系功能测试团队重新发起测试

3、；3.无法实现跨请求关联分析。洞态IAST轻Agent端+重服务端Agent端仅实现数据监听，漏洞检测全部在服务端完成1.Agent端代码和逻辑简单，单点故障率更低，极少升级；2.所有数据保存在服务端，可在服务端直接进行回归测试；3.服务端可动态加载检测引擎，并可实现跨请求关联分析。 更低的使用成本及更强大的检测能力04洞态IAST架构设计部署架构灰盒、黑盒、白盒共建DevSecOps05共建DevSecOps什么是DevOps从字面上来理解，从字面上来理解，DevOps DevOps 只是只是DevDev（开发人员）（开发人员）+Ops+Ops（运维人员），实际上，它是一组过程、方法与系统的

4、统称（运维人员），实际上，它是一组过程、方法与系统的统称DevOpsDevOps目前并没有权威的定义，目前并没有权威的定义，DevOps DevOps 强调的是高效组强调的是高效组织团队之间如何通过自动化的工具协作和沟通来完成软件的织团队之间如何通过自动化的工具协作和沟通来完成软件的生命周期管理，从而更快、更频繁地交付更稳定的软件。生命周期管理，从而更快、更频繁地交付更稳定的软件。共建DevSecOps安全如何更好的加入安全如何更好的加入DevOpsDevOps并非旨在以牺牲安全性为代价来最大化速度；并非旨在以牺牲安全性为代价来最大化速度；安全去适应特性：简单、快捷、持续安全去适应特性：简单、

5、快捷、持续在在CI-CI-自动化测试环节引入安全检查（自动化测试环节引入安全检查（SecSec）Sec嵌入流程安全不是流程的关卡而是齿轮，串联起整个生命周期共建DevSecOpsIAST在DevSecOps中是如何工作的 方式一：方式一：先白盒审计，先白盒审计，覆盖率高，覆盖率高，后灰盒接入，后灰盒接入，初步解决误报问题，黑盒初步解决误报问题，黑盒针对性扫描针对性扫描再次确认，再次确认，避免脏数据避免脏数据与性能压力与性能压力，最终上报，人工确认，最终上报，人工确认 方式二：若不介意性能压力问题，三者同时进行，三方式二：若不介意性能压力问题，三者同时进行，三者结果匹对，最终上报，人工处理者结果

6、匹对，最终上报，人工处理自动化测试+灰盒白盒代码检查代码构建黑盒漏扫本地功能开发发送通知上线上传结果PRPRMRMRCICI流程流程CICI流程流程GitHub ActionGitHub ActionDevOpsDevOps人工验证人工验证共建DevSecOps持续提升IAST检测能力灰盒做灰盒做 DevOps DevOps 中的同步检测，中的同步检测，黑盒、白盒做旁路检测黑盒、白盒做旁路检测/ /辅助检测，辅助检测，持续运营，提升持续运营，提升 IAST IAST 的检测能力，的检测能力，实现自动化的检测并保证检出率、准确率实现自动化的检测并保证检出率、准确率DevSecOps灰盒黑盒白盒部

7、署与落地0606 部署与落地洞态IAST部署Server端部署Agent端部署dockerK8s ManifestK8s - helmBase Docker ImageK8s initContainer洞态洞态IASTIAST官方文档：官方文档：https:/doc.dongtai.io/zh/https:/doc.dongtai.io/zh/06 部署与落地DongTai-Agent-Java 如何集成到 DevOps 洞态洞态IASTIAST官方文档：官方文档：https:/doc.dongtai.io/zh/https:/doc.dongtai.io/zh/Java Agent 在 Gi

8、tHub Action 及 DevOps 流程中的建议启动命令：java -javaagent:/path/to/agent.jar -Dproject.create=true -Dproject.name=WebGoat -Dproject.version=8.2 -Dresponse.length=1000 -Diast.server.mode=local -jar app.jar需求：需求： 在每次提交代码时，自动将靶场的测试数据存入特定的项目、在每次提交代码时，自动将靶场的测试数据存入特定的项目、特定的版本中，方便直接根据项目及版本进行数据的对比分析。特定的版本中，方便直接根据项目及版本进行数据的对比分析。06 部署与落地同程同程IASTIAST的推广的推广发挥安全的主动性，主动去贴合业务流程 培训和文章推广：在公司内部开展周期性的安全培训和安全发文，介绍IAST； 根据发现的安全事件，主动推动和提供给业务线安全能力； 与测试团队合作，推动SDL安全能力融入测试流程；提问环节提问环节