洞态在某互联⽹⾦融科技企业的最佳落地实践
洞态距正式开源已有 10 个月,用户已超过 200 家企业,覆盖互联网、汽车、金融等多个重要行业。
洞态是如何在互联⽹⾦融科技企业落地实践的呢?我们本期采访了安全架构师 PK,听听他是怎么说的吧。
视频链接:https://www.bilibili.com/video/BV1LS4y1p7AX?spm_id_from=333.999.0.0
个人介绍
⼤家好,我是 pk,⽬前在⼀家互联⽹⾦融科技企业,负责公司业务安全和数据安全。
和洞态的结缘
上线前检测的优势,⽬前正在使⽤哪些安全检测⼯具,以及优劣势?
应⽤安全作为业务安全的核⼼,是我们⽬前⼀项重点⼯作。
在上线前设⽴安全卡点可以“短平快”地发现⼤部分安全⻛险,也是安全检测的最佳落地实践。
我司已经具备相对完善的 DevOps 流⽔线,也采⽤了传统安全检测⼿段,⽐如编码阶段⽩盒(SAST)+测试阶段⿊盒(DAST)。
但传统检测⼿段的通病⼀样⽆法避免,⽐如误报率过⾼、⽆法精准定位并复现等等,严重影响⽇常安全运营效率。
为什么选择洞态?有哪些独有的优势?
因为机缘巧合,在⽕线成⽴初期就第⼀时间接触到了洞态 IAST。
相较于传统的 SAST+DAST 安全检测,洞态 IAST 除了可以明显提⾼漏洞准确度,还具备可快速融⼊公司 DevOps 流⽔线的优势。
对于业务同学使⽤体验较好,不会产⽣明显割裂感,达成了“业务与安全并进”的安全⽬标。
洞态的落地实践
洞态在贵公司已经应用到哪个阶段?
在技术选型初期我们已经充分考虑到业务使⽤的便利性,所以我们已经将洞态 agent 集成到了 CI/CD 构建流程中,应⽤发布时会⾃动集成洞态 agent,基本实现了安全接⼊业务⽆感知,所以推⼴初期还算顺利。
⽬前仍处于推⼴期,已经覆盖⼤约 50%业务。
在使⽤过程中,洞态 IAST 帮助我们及时检测到了多少开发漏洞?
我们的检测场景分为传统 web 漏洞 + 敏感数据检测 2 个⽅向。
从实际效果来看,2 个⽉的时间收获了 2000+敏感数据传输,60+⾼危 web 漏洞,200+⾼危开源组件漏洞。
(此处与公司业务形态强相关,互⾦⾏业⾃带较强的个⼈信息属性)
洞态 IAST 的哪个功能实⽤性最⾼,与公司的实际业务场景更匹配
洞态 IAST⾼⾃由度的⾃定义规则⼗分强⼤,从污点源函数、污点传播函数,到过滤函数、危险函数,甚⾄header⽩名单,能⾃由组合以满⾜我司“千奇百怪”的应⽤场景。
对洞态社区的贡献 or 想法
基于公司业务实现需要,在开发过程中,对洞态做了哪些升级和改造?
在使⽤过程中,也遇到过⼀些⼩问题,如发现 response⻓度参数 bug、结果数据⽆法导出等。
洞态 IAST 拥有良好的开源社区⽣态,bug 和需求只要合理都会得到反馈,帮忙解决了很多问题。
个⼈⾃身也会⼒所能及地解答社区中的使⽤问题,和⼤家共同探讨学习成⻓很快。
对洞态的期待
根据公司实际应用场景,你最期待洞态未来会开发的新功能是什么?
希望洞态 IAST 未来能在 web 平台的管理功能上继续优化,如多维度统计分析、URL⽩名单等。
对于⼤多数甲⽅安全团队来说,安全运营效率提升需要⻓期的统计分析数据⽀持,如果能做到可以直接⽤平台数据做安全考核指标那就更好啦!
相信你看完本期采访对洞态有了进一步了解
洞态商业版本在 2022 年 05 月 18 日 发布
部分功能仅商业版可用,开源版与商业版差异,请参阅以下附件:
申请洞态商业版产品试用。领取白皮书资料
请填写表单免费申请:https://wenjuan.feishu.cn/m?t=sEKos4DXXCCi-m2hs
关于洞态:
“洞态” 是全球首个开源 IAST 产品,专注于 DevSecOps,具备高检出率、低误报率、0 脏数据的特点,帮助企业发现并解决应用上线前的安全风险。
关于火线安全:
火线安全主要运营火线安全平台、火线 Zone 云安全社区、洞态 、火线安全云。通过自主研发的自动化测试工具和海量的白帽安全专家,助力企业解决应用生命全周期的安全风险。
评论