洞态距正式开源已有10个月,用户已超过200家企业,覆盖互联网、汽车、金融等多个重要行业。

洞态是如何在互联⽹⾦融科技企业落地实践的呢?我们本期采访了安全架构师 PK,听听他是怎么说的吧。

视频链接:https://www.bilibili.com/vide...

个人介绍

⼤家好,我是pk,⽬前在⼀家互联⽹⾦融科技企业,负责公司业务安全和数据安全。

和洞态的结缘

上线前检测的优势,⽬前正在使⽤哪些安全检测⼯具,以及优劣势?

应⽤安全作为业务安全的核⼼,是我们⽬前⼀项重点⼯作。

在上线前设⽴安全卡点可以“短平快”地发现⼤部分安全⻛险,也是安全检测的最佳落地实践。

我司已经具备相对完善的DevOps流⽔线,也采⽤了传统安全检测⼿段,⽐如编码阶段⽩盒(SAST)+测试阶段⿊盒(DAST)。

但传统检测⼿段的通病⼀样⽆法避免,⽐如误报率过⾼、⽆法精准定位并复现等等,严重影响⽇常安全运营效率。

为什么选择洞态?有哪些独有的优势?

因为机缘巧合,在⽕线成⽴初期就第⼀时间接触到了洞态IAST。

相较于传统的SAST+DAST安全检测,洞态IAST除了可以明显提⾼漏洞准确度,还具备可快速融⼊公司DevOps流⽔线的优势。

对于业务同学使⽤体验较好,不会产⽣明显割裂感,达成了“业务与安全并进”的安全⽬标。

洞态的落地实践

洞态在贵公司已经应用到哪个阶段?

在技术选型初期我们已经充分考虑到业务使⽤的便利性,所以我们已经将洞态agent集成到了CI/CD构建流程中,应⽤发布时会⾃动集成洞态agent,基本实现了安全接⼊业务⽆感知,所以推⼴初期还算顺利。

⽬前仍处于推⼴期,已经覆盖⼤约50%业务。

在使⽤过程中,洞态IAST帮助我们及时检测到了多少开发漏洞?

我们的检测场景分为传统web漏洞 + 敏感数据检测 2个⽅向。

从实际效果来看,2个⽉的时间收获了2000+敏感数据传输,60+⾼危web漏洞,200+⾼危开源组件漏洞。

(此处与公司业务形态强相关,互⾦⾏业⾃带较强的个⼈信息属性)

洞态IAST的哪个功能实⽤性最⾼,与公司的实际业务场景更匹配

洞态IAST⾼⾃由度的⾃定义规则⼗分强⼤,从污点源函数、污点传播函数,到过滤函数、危险函数,甚⾄header⽩名单,能⾃由组合以满⾜我司“千奇百怪”的应⽤场景。

对洞态社区的贡献or想法

基于公司业务实现需要,在开发过程中,对洞态做了哪些升级和改造?

在使⽤过程中,也遇到过⼀些⼩问题,如发现response⻓度参数bug、结果数据⽆法导出等。

洞态IAST拥有良好的开源社区⽣态,bug和需求只要合理都会得到反馈,帮忙解决了很多问题。

个⼈⾃身也会⼒所能及地解答社区中的使⽤问题,和⼤家共同探讨学习成⻓很快。

对洞态的期待

根据公司实际应用场景,你最期待洞态未来会开发的新功能是什么?

希望洞态IAST未来能在web平台的管理功能上继续优化,如多维度统计分析、URL⽩名单等。

对于⼤多数甲⽅安全团队来说,安全运营效率提升需要⻓期的统计分析数据⽀持,如果能做到可以直接⽤平台数据做安全考核指标那就更好啦!

相信你看完本期采访对洞态有了进一步了解

洞态商业版本在 2022年05月18日 发布

部分功能仅商业版可用,开源版与商业版差异,请参阅以下附件:

洞态开源与商业版区别

申请洞态商业版产品试用。领取白皮书资料

请填写表单免费申请:https://wenjuan.feishu.cn/m?t...

关于洞态:

“洞态” 是全球首个开源 IAST 产品,专注于 DevSecOps,具备高检出率、低误报率、0脏数据的特点,帮助企业发现并解决应用上线前的安全风险。

关于火线安全:

火线安全主要运营火线安全平台、火线Zone云安全社区、洞态 、火线安全云。通过自主研发的自动化测试工具和海量的白帽安全专家,助力企业解决应用生命全周期的安全风险。

火线安全平台:https://www.huoxian.cn/

火线Zone社区:https://zone.huoxian.cn/?sort...


火线安全
6 声望5 粉丝

火线安全是基于社区的云安全公司,主要运营洞态IAST和火线安全平台。通过自主研发的自动化测试工具和海量的白帽安全专家,助力企业解决应用生命全周期的安全风险。