需要分析 IoT Web 應用程序中可能泄露敏感數據的漏洞嗎？需要遵守 PCI DSS 或 GDPR 等法規(guī)，但又不中斷您的持續(xù)集成和交付 （CI/CD） 工作流程？如果是這樣，您需要一個漏洞搜索器。

Synopsys的Seeker 交互式應用程序安全測試 （IAST） 程序監(jiān)控代碼、數據流和內存，以識別敏感數據并確保它不會存儲在加密較弱或不存在加密的文件或數據庫中。換句話說，該工具不僅可以發(fā)現漏洞，還可以確定它們是否可以被利用。

通過自動化運行時測試，Seeker 動態(tài)分析 HTTP 流量；后端連接；以及開源、第三方和自定義應用程序代碼，以將誤報與已識別的漏洞分開。它測試應用程序組件，包括：

語言，如 C#、JavaScript、PHP、Scala 等。

Java 和 .NET 等平臺和運行時

NoSQL 和 SQL 等數據庫

應用程序類型，如 JSON、RESTful、移動、Web API 等。

Azure、AWS、谷歌云等云平臺。

通過參數識別等功能，該工具然后隔離未使用參數等組件，并用惡意值填充它們，以確定代碼是否可以用作攻擊的后門。

敏感數據的風險以統(tǒng)一的實時視圖呈現給測試人員，其中包含對所有檢測到的漏洞的技術解釋。該工具還提供基于上下文的修復說明和示例代碼修復，幫助減少團隊調整設計中風險最大的部分所需的 DevOps 時間。

Synopsys 聲稱該解決方案“比傳統(tǒng)的動態(tài)測試更準確”，還集成了 Black Duck Software 的二進制分析，用于開源漏洞、版本控制和許可覆蓋。

Synopsys Seeker IAST 行動：

對于 CI/CD 和 DevOps 部署，Seeker 的本機集成和 Web API 允許將其添加到現有的構建服務器和測試工具中，無論應用程序是內部部署、基于云還是容器化。這允許在軟件開發(fā)生命周期的 QA 和測試階段實施該工具的運行時分析和檢測技術，直至生產部署。

當用于發(fā)現導致敏感數據的攻擊媒介時，測試人員首先標記數據，例如信用卡信息、用戶名和密碼，或者任何屬于 PCI 或 GDPR 等法規(guī)范圍的內容。然后在每個應用程序節(jié)點（例如容器、VM 和云實例）上部署 Seeker 代理，跟蹤應用程序執(zhí)行的每個操作。這些代理由生成包含測試覆蓋計劃的自動 URL 映射實用程序支持。

然后，代理執(zhí)行逐行分析，檢查代碼、敏感數據和提供應用程序組件全面覆蓋的數十萬個 HTTP（S） 請求的交互。HTTP 請求監(jiān)控有助于將誤報與真正的漏洞隔離開來，Synopsys 表示，這將誤報率降低到不到 5%，而替代流程的平均誤報率為 20%。

Seeker 的測試結果顯示在綜合儀表板中，提供針對 OWASP 前 10 名、PCI DSS、GDPR 和 CWE/SANS 前 25 名的合規(guī)性分數或評級。當應用程序有暴露敏感信息的風險時，儀表板還會顯示警報。

Seeker 還提供不顯眼的被動監(jiān)控版本

審核編輯：郭婷