写点什么

洞态在某互联⽹⾦融科技企业的最佳落地实践

作者:火线安全
  • 2022 年 7 月 01 日
  • 本文字数:1456 字

    阅读完需:约 5 分钟

洞态在某互联⽹⾦融科技企业的最佳落地实践

洞态距正式开源已有 10 个月,用户已超过 200 家企业,覆盖互联网、汽车、金融等多个重要行业。


洞态是如何在互联⽹⾦融科技企业落地实践的呢?我们本期采访了安全架构师 PK,听听他是怎么说的吧。


视频链接:https://www.bilibili.com/video/BV1LS4y1p7AX?spm_id_from=333.999.0.0

个人介绍

⼤家好,我是 pk,⽬前在⼀家互联⽹⾦融科技企业,负责公司业务安全和数据安全。

和洞态的结缘

上线前检测的优势,⽬前正在使⽤哪些安全检测⼯具,以及优劣势?

应⽤安全作为业务安全的核⼼,是我们⽬前⼀项重点⼯作。


在上线前设⽴安全卡点可以“短平快”地发现⼤部分安全⻛险,也是安全检测的最佳落地实践。


我司已经具备相对完善的 DevOps 流⽔线,也采⽤了传统安全检测⼿段,⽐如编码阶段⽩盒(SAST)+测试阶段⿊盒(DAST)。


但传统检测⼿段的通病⼀样⽆法避免,⽐如误报率过⾼、⽆法精准定位并复现等等,严重影响⽇常安全运营效率。

为什么选择洞态?有哪些独有的优势?

因为机缘巧合,在⽕线成⽴初期就第⼀时间接触到了洞态 IAST。


相较于传统的 SAST+DAST 安全检测,洞态 IAST 除了可以明显提⾼漏洞准确度,还具备可快速融⼊公司 DevOps 流⽔线的优势。


对于业务同学使⽤体验较好,不会产⽣明显割裂感,达成了“业务与安全并进”的安全⽬标。

洞态的落地实践

洞态在贵公司已经应用到哪个阶段?

在技术选型初期我们已经充分考虑到业务使⽤的便利性,所以我们已经将洞态 agent 集成到了 CI/CD 构建流程中,应⽤发布时会⾃动集成洞态 agent,基本实现了安全接⼊业务⽆感知,所以推⼴初期还算顺利。


⽬前仍处于推⼴期,已经覆盖⼤约 50%业务。

在使⽤过程中,洞态 IAST 帮助我们及时检测到了多少开发漏洞?

我们的检测场景分为传统 web 漏洞 + 敏感数据检测 2 个⽅向。


从实际效果来看,2 个⽉的时间收获了 2000+敏感数据传输,60+⾼危 web 漏洞,200+⾼危开源组件漏洞。


(此处与公司业务形态强相关,互⾦⾏业⾃带较强的个⼈信息属性)

洞态 IAST 的哪个功能实⽤性最⾼,与公司的实际业务场景更匹配

洞态 IAST⾼⾃由度的⾃定义规则⼗分强⼤,从污点源函数、污点传播函数,到过滤函数、危险函数,甚⾄header⽩名单,能⾃由组合以满⾜我司“千奇百怪”的应⽤场景。

对洞态社区的贡献 or 想法

基于公司业务实现需要,在开发过程中,对洞态做了哪些升级和改造?

在使⽤过程中,也遇到过⼀些⼩问题,如发现 response⻓度参数 bug、结果数据⽆法导出等。


洞态 IAST 拥有良好的开源社区⽣态,bug 和需求只要合理都会得到反馈,帮忙解决了很多问题。


个⼈⾃身也会⼒所能及地解答社区中的使⽤问题,和⼤家共同探讨学习成⻓很快。

对洞态的期待

根据公司实际应用场景,你最期待洞态未来会开发的新功能是什么?

希望洞态 IAST 未来能在 web 平台的管理功能上继续优化,如多维度统计分析、URL⽩名单等。


对于⼤多数甲⽅安全团队来说,安全运营效率提升需要⻓期的统计分析数据⽀持,如果能做到可以直接⽤平台数据做安全考核指标那就更好啦!


相信你看完本期采访对洞态有了进一步了解


洞态商业版本在 2022 年 05 月 18 日 发布


部分功能仅商业版可用,开源版与商业版差异,请参阅以下附件:



申请洞态商业版产品试用。领取白皮书资料


请填写表单免费申请:https://wenjuan.feishu.cn/m?t=sEKos4DXXCCi-m2hs


关于洞态:


“洞态” 是全球首个开源 IAST 产品,专注于 DevSecOps,具备高检出率、低误报率、0 脏数据的特点,帮助企业发现并解决应用上线前的安全风险。


关于火线安全:


火线安全主要运营火线安全平台、火线 Zone 云安全社区、洞态 、火线安全云。通过自主研发的自动化测试工具和海量的白帽安全专家,助力企业解决应用生命全周期的安全风险。

用户头像

火线安全

关注

还未添加个人签名 2021.10.22 加入

持续分享云安全相关干货内容,欢迎安全圈的朋友一起交流!

评论

发布
暂无评论
洞态在某互联⽹⾦融科技企业的最佳落地实践_漏洞检测_火线安全_InfoQ写作社区