写点什么

IAST 在去哪儿 Q-SDL 体系中的应用

作者:火线安全
  • 2021 年 12 月 21 日
  • 本文字数:1168 字

    阅读完需:约 4 分钟

IAST 在去哪儿 Q-SDL 体系中的应用

昨日,知名安全媒体安全 419 发布了 “2021 年度软件开发安全优秀厂商” 名单,火线安全入选。


随着 DevOps 敏捷开发框架的出现,软件开发和部署速度变得更快,迭代更加频繁。为了在不牺牲速度和生产力的情况下有效降低安全风险,DevSecOps 应运而生。DevSecOps 是一种全新的安全理念和模式,其核心理念为 “安全是整个 IT 团队中每个人的责任,贯穿开发到运营整个业务生命周期的每个环节”。DevSecOps 使软件开发流程变得更敏捷更安全,但企业该如何构建完善的 DevSecOps 流程?


为此,安全 419 推出 “2021 年度软件开发安全优秀厂商” 以供企业参考。


推荐理由


火线的洞态 IAST 与其他安全厂商 IAST 产品的最大不同之处为:该产品是基于火线安全主导,经由洞态 IAST 开源社区以及火线安全平台(安全众测平台)上的众多白帽子的技术力量合作开发的产物。开源社区贡献者和白帽安全专家广泛分布于甲方企业和安全行业中,因此,我们将之称为 “由甲方客户安全人员自己打造的一款 IAST 工具”,工具中包括 agent 的启停、漏洞的通知等很多重要功能的代码都是由用户所提交。


在我们看来,洞态 IAST 的优势主要在于:参与开发的社区贡献者和白帽们大多具有甲方背景,这使得产品更贴近甲方自身的安全需求,使用场景也更丰富。他们自身的技术能力和经验,加上火线安全的专业团队,可以对洞态开源 IAST 进行持续的赋能,打造功能更强大、场景更丰富的 IAST 产品。

当前,在开发和运维领域,使用开源产品已比较广泛。如果能提供一款开源的安全产品给第三方使用,允许开发和运维团队查看其全部代码,在一定程度上能够增强开发和运维部门对安全部门的信任。从这个角度上看,部署洞态 IAST 可在企业内部得到更高的认可,降低安全人员与开发、运维之间的沟通成本。当然,对企业而言,现实的投入成本也会显著降低,这对于很多在开发安全方面预算有限的企业用户还是很有价值的。

关于洞态 IAST 的落地实践以及介绍,可以点击查看以下二篇文章哦:


▶ 同程旅行 IAST 落地实践:https://mp.weixin.qq.com/s/aDUVtrTQBcc5UFqmgKKRXw

▶IAST 在去哪儿 Q-SDL 体系中的应用:https://mp.weixin.qq.com/s/MzfcUCOPpLS34VAYc7q5XQ


关于火线安全

火线安全是基于社区的云安全公司,主要运营洞态 IAST 和火线安全平台。通过自主研发的自动化测试工具和海量的白帽安全专家,助力企业解决应用生命全周期的安全风险。“洞态”是全球首个开源 IAST 产品,专注于 DevSecOps, 帮助企业发现并解决应用上线前的安全风险。“火线安全平台”是全球首个社区原生的安全众测平台,注册有近万名白帽安全专家,为企业提供可信的安全众测服务。火线的安全产品与理念赢得了来自全球著名技术领袖陆奇博士、经纬中国、五源资本的投资,代表客户包括字节跳动、美团、百度、中国电信、中国银行、中石化等多家互联网大厂与国企。

火线安全平台官网:huoxian.cn

洞态官网:dongtai.io

用户头像

火线安全

关注

还未添加个人签名 2021.10.22 加入

还未添加个人简介

评论

发布
暂无评论
IAST 在去哪儿 Q-SDL 体系中的应用