IAST百科全书第13期

关于IAST的检测覆盖范围

一次说清

/火/线/安/全/

IAST在应用运行时检测

首先咱们复习一下，IAST是在应用运行时同步运行的，因为插了桩，IAST在测试的过程中能够监视应用程序的实际执行和数据流，也可以读到应用运行的具体代码，这里要划一个重点，是应用运行的代码：

IAST在检测时可以覆盖到应用所有实际运行到的代码，包括应用本身的代码、库和框架、第三方组件和API。

也就是说，没有运行的代码IAST是看不到的，这也是IAST和SAST的一个明显区别。

传统的静态和动态工具没有办法覆盖库和框架，做不了SCA，而且不擅长测试API安全，这些工具无法处理复杂协议，或者架构中用来构建API的复杂数据流和控制流。

安全测试的覆盖范围

取决于功能测试覆盖的范围

展开来说：

IAST能看到部署的每一个库和框架，IAST能精确知道库里面的哪一部分被应用真正调用，它会过滤掉没有被调用的和库相关的漏洞。

IAST做的SCA是运行时SCA，可以做运行时的组件成分分析。IAST提供的一定是内部引入并且调用的非常准确的组件。IAST也可以非常精准地定位到有风险的，需要推进修复的License组件。

在API方面， IAST可以从应用中提取相关API资产，自动地分析应用和API中的代码，梳理应用中的API资产。

最近，火线安全和Eolink宣布在API领域进行合作，火线安全将为Eolink的API管理平台打通安全测试接口，帮助用户在API开发和测试环节中及时发现和修复安全漏洞，保障API的安全性。

Eolink将为火线安全提供API管理平台的支持，帮助火线安全更好地管理和发布API，提高研发效率和运维效率。

总结一下：

IAST能准确识别常见的绝大多数漏洞，拥有高检出率和高准确率，凡是测试过程中触发的应用交互的流量都能覆盖到。

安全测试的覆盖范围取决于功能测试覆盖的范围，如果功能测试覆盖的范围全面，那么IAST的安全测试覆盖范围也会更广。

存量 vs 增量？

这里其实还存在另外一个存量和增量业务的问题。

现在测试团队一般只测试增量上线的业务，在新业务上线前，IAST可以用在QA、测试、CI/CD阶段实时检测，帮助研发尽早发现运行场景的漏洞，减少因漏洞检出节点滞后，而产生的跨部门推进修复效率低、周期长、人力成本高，且对敏捷开发流程造成阻塞的问题。

这种情况下，IAST的安全测试也只能覆盖增量业务。一般需要考虑对存量业务也做一次整体测试，后续IAST就可以跟着测试团队的增量业务来覆盖了。

往期推荐