需要分析 IoT Web 應(yīng)用是否存在可能泄露敏感數(shù)據(jù)的漏洞？需要遵守 PCI DSS 或 GDPR 等法規(guī)，但又不中斷您的持續(xù)集成和交付 （CI/CD） 工作流？如果是這樣，您需要一個(gè)漏洞尋求者。

Synopsys 的 Seeker 交互式應(yīng)用程序安全測(cè)試 （IAST） 程序監(jiān)控代碼、數(shù)據(jù)流和內(nèi)存，以識(shí)別敏感數(shù)據(jù)，并確保其不會(huì)存儲(chǔ)在加密較弱或不存在的文件或數(shù)據(jù)庫(kù)中。換句話說(shuō)，該工具不僅可以發(fā)現(xiàn)漏洞，還可以確定是否可以利用它們。

通過(guò)自動(dòng)化運(yùn)行時(shí)測(cè)試，Seeker 動(dòng)態(tài)分析 HTTP 流量;后端連接;以及開源、第三方和自定義應(yīng)用程序代碼，用于將誤報(bào)與已識(shí)別的漏洞區(qū)分開來(lái)。它測(cè)試應(yīng)用程序組件，包括：

C#，JavaScript，PHP，Scala等語(yǔ)言。

平臺(tái)和運(yùn)行時(shí)，如Java和.NET

數(shù)據(jù)庫(kù)，如NoSQL和SQL

應(yīng)用程序類型，如 JSON、RESTful、Mobile、Web API 等。

云平臺(tái)，如Azure，AWS，Google Cloud等。

通過(guò)參數(shù)識(shí)別等功能，該工具會(huì)隔離未使用的參數(shù)等組件，并用惡意值填充它們，以確定代碼是否可以用作攻擊的后門。

敏感數(shù)據(jù)的風(fēng)險(xiǎn)以統(tǒng)一的實(shí)時(shí)視圖呈現(xiàn)給測(cè)試人員，其中包含所有檢測(cè)到的漏洞的技術(shù)解釋。該工具進(jìn)一步提供基于上下文的修復(fù)說(shuō)明和示例代碼修復(fù)，幫助減少團(tuán)隊(duì)調(diào)整設(shè)計(jì)中風(fēng)險(xiǎn)最大的部分所需的 DevOps 時(shí)間。

Synopsys聲稱該解決方案“比傳統(tǒng)的動(dòng)態(tài)測(cè)試更準(zhǔn)確”，還集成了Black Duck Software的二進(jìn)制分析，用于開源漏洞，版本控制和許可范圍。

Synopsys Seeker IAST 行動(dòng)：

對(duì)于 CI/CD 和 DevOps 部署，Seeker 的原生集成和 Web API 允許將其添加到現(xiàn)有的構(gòu)建服務(wù)器和測(cè)試工具中，無(wú)論應(yīng)用程序是本地、基于云的還是容器化的。這允許在軟件開發(fā)生命周期的 QA 和測(cè)試階段實(shí)施該工具的運(yùn)行時(shí)分析和檢測(cè)技術(shù)，直到生產(chǎn)部署。

當(dāng)用于發(fā)現(xiàn)導(dǎo)致敏感數(shù)據(jù)的攻擊媒介時(shí)，測(cè)試人員首先標(biāo)記信用卡信息、用戶名和密碼等數(shù)據(jù)，或者屬于 PCI 或 GDPR 等法規(guī)范圍的任何數(shù)據(jù)。然后，在每個(gè)應(yīng)用程序節(jié)點(diǎn)（例如容器、VM 和云實(shí)例）上部署導(dǎo)引頭代理，這些節(jié)點(diǎn)跟蹤應(yīng)用程序執(zhí)行的每個(gè)操作。這些代理由自動(dòng)生成的 URL 映射實(shí)用程序提供支持，該實(shí)用程序生成一個(gè)包含測(cè)試覆蓋率計(jì)劃。

然后，代理執(zhí)行逐行分析，檢查代碼、敏感數(shù)據(jù)和數(shù)十萬(wàn)個(gè) HTTP（S） 請(qǐng)求之間的交互，這些請(qǐng)求提供了應(yīng)用程序組件的全面覆蓋。HTTP請(qǐng)求監(jiān)控有助于將誤報(bào)與真實(shí)漏洞隔離開來(lái)，Synopsys表示，與替代進(jìn)程的平均誤報(bào)率20%相比，誤報(bào)率降低到5%以下。

Seeker 的測(cè)試結(jié)果顯示在一個(gè)全面的儀表板中，該儀表板提供針對(duì) OWASP 前 10 名、PCI DSS、GDPR 和 CWE/SANS 前 25 名的合規(guī)性分?jǐn)?shù)或評(píng)級(jí)。當(dāng)應(yīng)用程序面臨暴露敏感信息的風(fēng)險(xiǎn)時(shí)，儀表板還會(huì)顯示警報(bào)。

導(dǎo)引頭也提供不顯眼的被動(dòng)監(jiān)控版本

審核編輯：郭婷