全世界有大概2000萬的開發人員,每年生成出大量的應用供個人和企業使用,這些應用在安全方面普遍存在問題和隱患,因為安全專家有限,而現代軟體開發速度又在加快,許多專案按周、天,甚至小時的頻率來部署程式碼,按照傳統的SAST、DAST、模糊測試、人工滲透測試、人工程式碼檢查等方式難以及時跟進;SAST和DAST產生的大量誤報和漏報都需安全專家執行手動步驟來解決,耗費大量時間;敏捷和DevOps利用傳統檢測的工具支援難度更大。
此外,當前市面上的安全測試類產品偏向專業工具,一般由專業的安全人員使用,測試流程與安全測試流程依然割裂,安全測試往往因為髒資料、併發大等問題影響正常功能測試,無法與功能測試或壓力測試並行,依然是在功能測試之後瀑布式地進行安全測試,沒有與測試流程很好地融合,無法有效縮短安全測試時間提高效率。現有安全測試工具檢測時間長誤報多,需要人工手動排查誤報和進行漏洞管理。
出於解決以上問題的考量,國舜股份正式推出
國舜珍瓏IAST互動式安全測試系統——
國舜珍瓏IAST產品優勢
國舜珍瓏IAST
融合了SAST和DAST技術的優點,能夠覆蓋到更多的應用安全檢測場景,無需原始碼,大幅提高了安全測試的效率和準確率,可以更及時、更準確地發現漏洞。適用於敏捷開發和DevSecOps,可在軟體的開發和測試階段無縫整合現有開發流程,開發人員和測試人員在執行功能測試的同時實時動態檢測,發現並捕獲安全漏洞,無感知地完成安全測試。系統助力應對現有應用安全測試技術面臨的挑戰,為客戶系統上線前提供強有力的安全保障。
國舜珍瓏IAST
漏洞庫擁有多種漏洞來源,透過對合作商20多萬漏洞分析、最佳化,形成基礎漏洞庫;基於國舜在金融領域和電信運營商領域10多年的服務積澱形成專業場景漏洞庫,實現快速響應多種類新型漏洞,並不斷維護與最佳化已有漏洞檢測外掛以提升效能。
國舜珍瓏IAST產品價值
無縫整合開發、測試階段,形成DevSecOps解決方案
國舜珍瓏IAST
適用於軟體產品開發與測試階段,可由開發工程師或測試工程師在執行功能測試的同時,無感知、“零成本”完成安全測試。整個檢測過程無需安全專家介入,無需額外安全測試時間投入,不會對現有開發流程造成任何影響,符合敏捷開發和DevSecOps模式下軟體產品快速迭代、快速交付的要求。
支援多種類安全弱點檢測
國舜珍瓏IAST
可在覆蓋傳統通用型漏洞的基礎上,自主建立業務邏輯類漏洞檢測引擎,支援賬戶體系場景+通用業務場景漏洞檢測。
質量高、型別豐富漏洞庫持續升級
國舜珍瓏IAST
擁有多種漏洞來源,快速響應各類新型漏洞,且不斷維護與最佳化已有漏洞檢測外掛提升效能。
檢測準確率高
國舜珍瓏IAST
可獲得應用程式執行時的各類準確資訊,再結合其規則定製功能,誤報率極低。國舜珍瓏IAST在企業應用測試過程中,可獲取真實程式碼的呼叫鏈,從最開始引數的請求到最後執行的一些程式碼。因此檢測效率和準確度都得以提高。
準實時檢測
國舜珍瓏IAST
在完成應用程式功能測試的同時即可完成安全測試。
企業級的產品安全性
細粒度的許可權控制;關鍵操作均有記錄;支援本地部署。
國舜珍瓏IAST
實現無髒資料、支援資料包加密/一次性簽名/驗證碼等不支援重放的場景下的漏洞檢測,非常適合用於DevOps流程中,以無侵入的方式對應用進行安全掃描。