共计 1608 个字符,预计需要花费 5 分钟才能阅读完成。
洞态距正式开源已有 10 个月,用户已超过 200 家企业,笼罩互联网、汽车、金融等多个重要行业。
洞态是如何在互联⽹⾦融科技企业落地实际的呢?咱们本期采访了平安架构师 PK,听听他是怎么说的吧。
视频链接:https://www.bilibili.com/vide…
集体介绍
⼤家好,我是 pk,⽬前在⼀家互联⽹⾦融科技企业,负责公司业务平安和数据安全。
和洞态的结缘
上线前检测的劣势,⽬前正在使⽤哪些平安检测⼯具,以及优劣势?
应⽤平安作为业务平安的核⼼,是咱们⽬前⼀项重点⼯作。
在上线前设⽴平安卡点能够“短平快”地发现⼤局部平安⻛险,也是平安检测的最佳落地实际。
我司曾经具备绝对欠缺的 DevOps 流⽔线,也采⽤了传统平安检测⼿段,⽐如编码阶段⽩盒(SAST)+ 测试阶段⿊盒(DAST)。
但传统检测⼿段的通病⼀样⽆法防止,⽐如误报率过⾼、⽆法精准定位并复现等等,重大影响⽇常平安经营效率。
为什么抉择洞态?有哪些独有的劣势?
因为机缘巧合,在⽕线成⽴初期就第⼀工夫接触到了洞态 IAST。
相较于传统的 SAST+DAST 平安检测,洞态 IAST 除了能够显著提⾼破绽准确度,还具备可疾速融⼊公司 DevOps 流⽔线的劣势。
对于业务同学使⽤体验较好,不会产⽣显著割裂感,达成了“业务与平安并进”的平安⽬标。
洞态的落地实际
洞态在贵公司曾经利用到哪个阶段?
在技术选型初期咱们曾经充分考虑到业务使⽤的便利性,所以咱们曾经将洞态 agent 集成到了 CI/CD 构建流程中,应⽤公布时会⾃动集成洞态 agent,根本实现了平安接⼊业务⽆感知,所以推⼴初期还算顺利。
⽬前仍处于推⼴期,曾经笼罩⼤约 50% 业务。
在使⽤过程中,洞态 IAST 帮忙咱们及时检测到了多少开发破绽?
咱们的检测场景分为 传统 web 破绽 + 敏感数据检测 2 个⽅向。
从实际效果来看,2 个⽉的工夫播种了 2000+ 敏感数据传输,60+ ⾼危 web 破绽,200+ ⾼危开源组件破绽。
(此处与公司业务状态强相干,互⾦⾏业⾃带较强的个⼈信息属性)
洞态 IAST 的哪个性能实⽤性最⾼,与公司的理论业务场景更匹配
洞态 IAST ⾼⾃由度的⾃定义规定⼗分强⼤,从污点源函数、污点流传函数,到过滤函数、危险函数,甚⾄ header ⽩名单,能⾃由组合以满⾜我司“千奇百怪”的应⽤场景。
对洞态社区的奉献 or 想法
基于公司业务实现须要,在开发过程中,对洞态做了哪些降级和革新?
在使⽤过程中,也遇到过⼀些⼩问题,如发现 response ⻓度参数 bug、后果数据⽆法导出等。
洞态 IAST 领有良好的开源社区⽣态,bug 和需要只有正当都会失去反馈,帮忙解决了很多问题。
个⼈⾃身也会⼒所能及地解答社区中的使⽤问题,和⼤家独特探讨学习成⻓很快。
对洞态的期待
依据公司理论利用场景,你最期待洞态将来会开发的新性能是什么?
心愿洞态 IAST 将来能在 web 平台的治理性能上持续优化,如多维度统计分析、URL ⽩名单等。
对于⼤少数甲⽅平安团队来说,平安经营效率晋升须要⻓期的统计分析数据⽀持,如果能做到能够间接⽤平台数据做平安考核指标那就更好啦!
置信你看完本期采访对洞态有了进一步理解
洞态商业版本在 2022 年 05 月 18 日 公布
局部性能仅商业版可用,开源版与商业版差别,请参阅以下附件:
申请洞态商业版产品试用。支付白皮书材料
请填写表单 收费 申请:https://wenjuan.feishu.cn/m?t…
对于洞态:
“洞态”是寰球首个开源 IAST 产品,专一于 DevSecOps,具备高检出率、低误报率、0 脏数据的特点,帮忙企业发现并解决利用上线前的平安危险。
对于前线平安:
前线平安次要经营前线平安平台、前线 Zone 云平安社区、洞态、前线平安云。通过自主研发的自动化测试工具和海量的白帽平安专家,助力企业解决利用生命全周期的平安危险。
前线平安平台:https://www.huoxian.cn/
前线 Zone 社区:https://zone.huoxian.cn/?sort…