火线旗下DevSecOps应用：全球专业IAST领域首个开源项目

2021年9月1日，火线安全平台洞态IAST开源发布会在北京圆满举行。在发布会上，火线安全平台宣布正式将旗下DevSecOps应用安全产品“洞态IAST”开源，这也将是全球专业IAST领域的首个开源项目。

洞态IAST产品负责人owefsad介绍，当前国内对网络安全的重视程度不断提高，《数据安全法》、《关键信息基础设施安全保护条例》、《个人信息保护法》等各类的法规法规不断出台落地，也从侧面推动了应用程序向更安全的方向发展。

而随着云的普及，应用程序的运行环境发生了很大的改变，大量的应用都被部署在了云环境上运行的基础集群、镜像容器等环境中，在如此复杂的环境下，新的安全工具不仅需要应对不断变化的外部威胁，还应该满足云原生应用快速拓展、弹性伸缩的特性，即要考虑在安全和效率上的平衡——要更柔和的嵌入，而不是用分散和粗暴的方式来干预。

此外，从计算机企业级应用发展到现在，已经进入了敏捷开发时代。随着企业生产效率的提高，应用的迭代速度也变得越来越快，但快速迭代也造成待上线应用的数量与安全测试人员数量的严重不对等，进而产生了新的应用安全风险。因此，为了满足企业的生产效率需求，必须要有同样高效的安全工具来消弭安全测试人员数量不足给生产效率带来的影响。

据了解，IAST全称Interactive Application Security Testing，即“交互式应用程序安全测试”。它主要通过Agent来收集和监控应用程序运行时的函数执行及数据传输，并与服务端进行实时交互，进而更高效的识别应用软件的安全缺陷及漏洞，同时可准确定位漏洞所在的代码文件、行数、函数及参数，方便开发团队修复问题。

与传统的白盒代码扫描相比，IAST基于应用运行态的检测可以显著提高扫描的准确性，同时还能定位到漏洞的代码位置，节省了开发团队在安全上投入的时间。更重要的是，IAST的agent端直接通过复用测试团队的流量来进行扫描，使得漏洞检测产品可以“无感地”嵌入到DevOps流程中，减少了安全和业务团队之间的矛盾。

owefsad表示，作为一款创新的漏洞检测产品，洞态IAST的技术优势十分明显。

洞态完全基于“值匹配算法“和”污点跟踪算法”对漏洞进行检测。这种算法检测准确率高，还无需采集和重放流量，可以适配如今各种场景下的漏洞检测(如API网关、分布式、微服务等架构下的后端服务漏洞检测)，还不会产生脏数据，干扰正常的开发测试流程。

对于检测发现的漏洞，洞态根据外部可控数据的传播过程，完整的还原漏洞触发流程，帮助DevOps团队快速理解漏洞、定位漏洞，更好的解决漏洞。通过赋能研发人员，提高漏洞修复的效率。

和业内同类产品“重Agent端、轻服务端”的架构不同，洞态的Agent端仅用于实现数据监听，漏洞检测全部在服务端完成。这种方法的好处是Agent端代码和逻辑简单，单点故障率更低也极少需要升级，降低了维护成本;另外，传统IAST产品对于当时未检测的漏洞都在Agent端直接丢弃，产品出现新的检测策略后，需要重新发起应用的测试，而洞态IAST将检测数据保存在服务端，可以轻松在服务端进行回归测试。

在发布会上，作为洞态IAST产品的资深用户，来自去哪儿、轻松筹的两位高级安全工程师也现身说法，为场内的嘉宾们带来了洞态IAST产品在自身企业的安全实践。

在发布会的圆桌环节上，经纬中国投资人Monica、微博信息安全总经理邹庆、奇绩创坛合伙人曹勖文、Tetrate布道师/云原生社区创始人宋净超，以及火线安全平台创始人邬迪一同围绕开源安全产品的发展前景进行了研讨。

火线安全平台创始人邬迪表示，敏捷开发的普及让企业可以更高效的生产应用，同时也意味着产生更多的安全漏洞，如果在发布后才发现这些安全风险，成本相当巨大。所以，通过在软件的生命周期的早期即引入安全工具开展预防工作，已经成为业内共识。

“在过去的时候，安全部门跟业务部门以及开发部门之间存在一些对抗的关系，大家会认为安全部门会在产品上线后再提出安全问题，然后再来找麻烦，这是一种干扰式的合作。但在我们看来，安全应该更好的为业务发展赋能，更柔和的嵌入到业务流中，因此我们开始关注IAST这种插桩式的方式，并逐步将它打造成为一个可以落地的产品，这也是我们开源洞态IAST这个产品的初衷”，邬迪谈到。

微博信息安全总经理邹庆也在圆桌上分享了自己针对开源安全产品未来发展的看法。首先他认为，网络安全行业发展到今时今日，安全事实上已经不再是业务的附属，而应该将其称为业务的重要支撑。“当前安全已经被提升到了一个很高的位置，因此安全之于业务而言就像是车轮之于汽车，缺少了车轮汽车就无法继续前进，因此其实我们已经很难再去说安全跟业务之间是一种附属关系了。”

邹庆表示，过去很多企业都会优先发展业务，在业务发展到一定阶段的时候再来考虑安全问题，如今随着合规政策的要求，以及自身业务健康发展的需要，安全对于这部分而言已经变成了刚需。而大多数企业在面对安全建设的时候预算是有限的，因此开源的安全产品可能成为大多数中小企业的必然选择，开源安全产品将会迎来快速发展的机遇期。

邬迪最后表示，“随着云的普及和大量安全类法规的落地，应用安全的重要性已经不言而喻。火线希望将洞态IAST开源后，能让所有的企业都能使用最前沿DevSecOps产品，与所有企业一同共同构建DevSecOps安全生态。”

据了解，火线安全是国内知名的白帽子平台，拥有大量安全专家及头部互联网和金融客户。洞态IAST早期主要供火线平台的合作企业使用，目前，包括去哪儿网、轻松筹、百世快递、同程旅行、掌门1对1等知名公司都已将洞态IAST作为DevOps环节中的重要安全工具。

值得一提的是，洞态IAST产品基于火线上万名白帽子的社区开发而成，目前已积累了大量的安全测试实例，经过测试，洞态对OWASP官方靶场的漏洞检出率高达100%，能够全面覆盖企业常见的所有主流漏洞类型。

目前，洞态IAST已正式在Github和Gitee两个社区同时开源，感兴趣的安全爱好者可前往试用并参与贡献。