IAST百科全书第16期

IAST与RASP的区别

/火/线/安/全/

IAST&RASP异同

IAST工具将agent安装到应用程序中，以便在应用程序运行时监视应用程序，扫描安全漏洞。agent收集应用程序中的数据，可以识别SAST和DAST工具遗漏的安全漏洞。

RASP和IAST一样，也需要通过在应用程序中安装agent，这是他们比较类似的地方。

不同之处在于agent的使用方式。 IAST工具在应用上线前查找安全漏洞，agent是插桩在测试环境的，而RASP会监视应用程序是否存在攻击，并在检测到攻击发生的时候拦截攻击，保护应用程序，agent是插桩在生产环境的。

RASP的局限

RASP为已经上线的应用程序添加了一层保护，检查执行的每条指令，在发现攻击时会告警，并且实际上会停止导致攻击的命令执行，也就阻断了攻击。

与之相应的，RASP的代价是什么呢？

• RASP插桩在生产环境，一定会降低应用程序的实际性能。

• 由于规则或内部策略可能会阻止安装其他软件，并不总是可以在生产环境中部署RASP的agent。

IAST vs RASP？

RASP可以增强应用的安全性，但这并不意味着你部署了RASP之后就可以高枕无忧，防范所有漏洞。

RASP无法取代AST，无论是IAST还是SAST、DAST。它们作用于应用程序不同的生命周期，相互之间应该说是互相补充的关系。