关于云计算:洞态在某互联⽹⾦融科技企业的最佳落地实践

36次阅读

共计 1608 个字符,预计需要花费 5 分钟才能阅读完成。

洞态距正式开源已有 10 个月,用户已超过 200 家企业,笼罩互联网、汽车、金融等多个重要行业。

洞态是如何在互联⽹⾦融科技企业落地实际的呢?咱们本期采访了平安架构师 PK,听听他是怎么说的吧。

视频链接:https://www.bilibili.com/vide…

集体介绍

⼤家好,我是 pk,⽬前在⼀家互联⽹⾦融科技企业,负责公司业务平安和数据安全。

和洞态的结缘

上线前检测的劣势,⽬前正在使⽤哪些平安检测⼯具,以及优劣势?

应⽤平安作为业务平安的核⼼,是咱们⽬前⼀项重点⼯作。

在上线前设⽴平安卡点能够“短平快”地发现⼤局部平安⻛险,也是平安检测的最佳落地实际。

我司曾经具备绝对欠缺的 DevOps 流⽔线,也采⽤了传统平安检测⼿段,⽐如编码阶段⽩盒(SAST)+ 测试阶段⿊盒(DAST)。

但传统检测⼿段的通病⼀样⽆法防止,⽐如误报率过⾼、⽆法精准定位并复现等等,重大影响⽇常平安经营效率。

为什么抉择洞态?有哪些独有的劣势?

因为机缘巧合,在⽕线成⽴初期就第⼀工夫接触到了洞态 IAST。

相较于传统的 SAST+DAST 平安检测,洞态 IAST 除了能够显著提⾼破绽准确度,还具备可疾速融⼊公司 DevOps 流⽔线的劣势。

对于业务同学使⽤体验较好,不会产⽣显著割裂感,达成了“业务与平安并进”的平安⽬标。

洞态的落地实际

洞态在贵公司曾经利用到哪个阶段?

在技术选型初期咱们曾经充分考虑到业务使⽤的便利性,所以咱们曾经将洞态 agent 集成到了 CI/CD 构建流程中,应⽤公布时会⾃动集成洞态 agent,根本实现了平安接⼊业务⽆感知,所以推⼴初期还算顺利。

⽬前仍处于推⼴期,曾经笼罩⼤约 50% 业务。

在使⽤过程中,洞态 IAST 帮忙咱们及时检测到了多少开发破绽?

咱们的检测场景分为 传统 web 破绽 + 敏感数据检测 2 个⽅向。

从实际效果来看,2 个⽉的工夫播种了 2000+ 敏感数据传输,60+ ⾼危 web 破绽,200+ ⾼危开源组件破绽。

(此处与公司业务状态强相干,互⾦⾏业⾃带较强的个⼈信息属性)

洞态 IAST 的哪个性能实⽤性最⾼,与公司的理论业务场景更匹配

洞态 IAST ⾼⾃由度的⾃定义规定⼗分强⼤,从污点源函数、污点流传函数,到过滤函数、危险函数,甚⾄ header ⽩名单,能⾃由组合以满⾜我司“千奇百怪”的应⽤场景。

对洞态社区的奉献 or 想法

基于公司业务实现须要,在开发过程中,对洞态做了哪些降级和革新?

在使⽤过程中,也遇到过⼀些⼩问题,如发现 response ⻓度参数 bug、后果数据⽆法导出等。

洞态 IAST 领有良好的开源社区⽣态,bug 和需要只有正当都会失去反馈,帮忙解决了很多问题。

个⼈⾃身也会⼒所能及地解答社区中的使⽤问题,和⼤家独特探讨学习成⻓很快。

对洞态的期待

依据公司理论利用场景,你最期待洞态将来会开发的新性能是什么?

心愿洞态 IAST 将来能在 web 平台的治理性能上持续优化,如多维度统计分析、URL ⽩名单等。

对于⼤少数甲⽅平安团队来说,平安经营效率晋升须要⻓期的统计分析数据⽀持,如果能做到能够间接⽤平台数据做平安考核指标那就更好啦!

置信你看完本期采访对洞态有了进一步理解

洞态商业版本在 2022 年 05 月 18 日 公布

局部性能仅商业版可用,开源版与商业版差别,请参阅以下附件:

申请洞态商业版产品试用。支付白皮书材料

请填写表单 收费 申请:https://wenjuan.feishu.cn/m?t…

对于洞态:

“洞态”是寰球首个开源 IAST 产品,专一于 DevSecOps,具备高检出率、低误报率、0 脏数据的特点,帮忙企业发现并解决利用上线前的平安危险。

对于前线平安:

前线平安次要经营前线平安平台、前线 Zone 云平安社区、洞态、前线平安云。通过自主研发的自动化测试工具和海量的白帽平安专家,助力企业解决利用生命全周期的平安危险。

前线平安平台:https://www.huoxian.cn/

前线 Zone 社区:https://zone.huoxian.cn/?sort…

正文完
 0