需要分析 IoT Web 應(yīng)用是否存在可能泄露敏感數(shù)據(jù)的漏洞？需要遵守 PCI DSS 或 GDPR 等法規(guī)，但又不中斷您的持續(xù)集成和交付 （CI/CD） 工作流？如果是這樣，您需要一個(gè)漏洞尋求者。

Synopsys 的 Seeker 交互式應(yīng)用程序安全測試 （IAST） 程序監(jiān)控代碼、數(shù)據(jù)流和內(nèi)存，以識別敏感數(shù)據(jù)，并確保其不會存儲在加密較弱或不存在的文件或數(shù)據(jù)庫中。換句話說，該工具不僅可以發(fā)現(xiàn)漏洞，還可以確定是否可以利用它們。

通過自動化運(yùn)行時(shí)測試，Seeker 動態(tài)分析 HTTP 流量;后端連接;以及開源、第三方和自定義應(yīng)用程序代碼，用于將誤報(bào)與已識別的漏洞區(qū)分開來。它測試應(yīng)用程序組件，包括：

C#，JavaScript，PHP，Scala等語言。

平臺和運(yùn)行時(shí)，如Java和.NET

數(shù)據(jù)庫，如NoSQL和SQL

應(yīng)用程序類型，如 JSON、RESTful、Mobile、Web API 等。

云平臺，如Azure，AWS，Google Cloud等。

通過參數(shù)識別等功能，該工具會隔離未使用的參數(shù)等組件，并用惡意值填充它們，以確定代碼是否可以用作攻擊的后門。

敏感數(shù)據(jù)的風(fēng)險(xiǎn)以統(tǒng)一的實(shí)時(shí)視圖呈現(xiàn)給測試人員，其中包含所有檢測到的漏洞的技術(shù)解釋。該工具進(jìn)一步提供基于上下文的修復(fù)說明和示例代碼修復(fù)，幫助減少團(tuán)隊(duì)調(diào)整設(shè)計(jì)中風(fēng)險(xiǎn)最大的部分所需的 DevOps 時(shí)間。

Synopsys聲稱該解決方案“比傳統(tǒng)的動態(tài)測試更準(zhǔn)確”，還集成了Black Duck Software的二進(jìn)制分析，用于開源漏洞，版本控制和許可范圍。

Synopsys Seeker IAST 行動：

對于 CI/CD 和 DevOps 部署，Seeker 的原生集成和 Web API 允許將其添加到現(xiàn)有的構(gòu)建服務(wù)器和測試工具中，無論應(yīng)用程序是本地、基于云的還是容器化的。這允許在軟件開發(fā)生命周期的 QA 和測試階段實(shí)施該工具的運(yùn)行時(shí)分析和檢測技術(shù)，直到生產(chǎn)部署。

當(dāng)用于發(fā)現(xiàn)導(dǎo)致敏感數(shù)據(jù)的攻擊媒介時(shí)，測試人員首先標(biāo)記信用卡信息、用戶名和密碼等數(shù)據(jù)，或者屬于 PCI 或 GDPR 等法規(guī)范圍的任何數(shù)據(jù)。然后，在每個(gè)應(yīng)用程序節(jié)點(diǎn)（例如容器、VM 和云實(shí)例）上部署導(dǎo)引頭代理，這些節(jié)點(diǎn)跟蹤應(yīng)用程序執(zhí)行的每個(gè)操作。這些代理由自動生成的 URL 映射實(shí)用程序提供支持，該實(shí)用程序生成一個(gè)包含測試覆蓋率計(jì)劃。

然后，代理執(zhí)行逐行分析，檢查代碼、敏感數(shù)據(jù)和數(shù)十萬個(gè) HTTP（S） 請求之間的交互，這些請求提供了應(yīng)用程序組件的全面覆蓋。HTTP請求監(jiān)控有助于將誤報(bào)與真實(shí)漏洞隔離開來，Synopsys表示，與替代進(jìn)程的平均誤報(bào)率20%相比，誤報(bào)率降低到5%以下。

Seeker 的測試結(jié)果顯示在一個(gè)全面的儀表板中，該儀表板提供針對 OWASP 前 10 名、PCI DSS、GDPR 和 CWE/SANS 前 25 名的合規(guī)性分?jǐn)?shù)或評級。當(dāng)應(yīng)用程序面臨暴露敏感信息的風(fēng)險(xiǎn)時(shí)，儀表板還會顯示警報(bào)。

導(dǎo)引頭也提供不顯眼的被動監(jiān)控版本

審核編輯：郭婷