洞态距正式开源已有10个月,用户已超过200家企业,覆盖互联网、汽车、金融等多个重要行业。
洞态是如何在互联??融科技企业落地实践的呢?我们本期采访了安全架构师 PK,听听他是怎么说的吧。
视频链接:https://www.bilibili.com/vide...
个人介绍
?家好,我是pk,?前在?家互联??融科技企业,负责公司业务安全和数据安全。
和洞态的结缘
上线前检测的优势,?前正在使?哪些安全检测?具,以及优劣势?
应?安全作为业务安全的核?,是我们?前?项重点?作。
在上线前设?安全卡点可以“短平快”地发现?部分安全?险,也是安全检测的最佳落地实践。
我司已经具备相对完善的DevOps流?线,也采?了传统安全检测?段,?如编码阶段?盒(SAST)+测试阶段?盒(DAST)。
但传统检测?段的通病?样?法避免,?如误报率过?、?法精准定位并复现等等,严重影响?常安全运营效率。
为什么选择洞态?有哪些独有的优势?
因为机缘巧合,在?线成?初期就第?时间接触到了洞态IAST。
相较于传统的SAST+DAST安全检测,洞态IAST除了可以明显提?漏洞准确度,还具备可快速融?公司DevOps流?线的优势。
对于业务同学使?体验较好,不会产?明显割裂感,达成了“业务与安全并进”的安全?标。
洞态的落地实践
洞态在贵公司已经应用到哪个阶段?
在技术选型初期我们已经充分考虑到业务使?的便利性,所以我们已经将洞态agent集成到了CI/CD构建流程中,应?发布时会?动集成洞态agent,基本实现了安全接?业务?感知,所以推?初期还算顺利。
?前仍处于推?期,已经覆盖?约50%业务。
在使?过程中,洞态IAST帮助我们及时检测到了多少开发漏洞?
我们的检测场景分为传统web漏洞 + 敏感数据检测 2个?向。
从实际效果来看,2个?的时间收获了2000+敏感数据传输,60+?危web漏洞,200+?危开源组件漏洞。
(此处与公司业务形态强相关,互??业?带较强的个?信息属性)
洞态IAST的哪个功能实?性最?,与公司的实际业务场景更匹配
洞态IAST??由度的?定义规则?分强?,从污点源函数、污点传播函数,到过滤函数、危险函数,甚?header?名单,能?由组合以满?我司“千奇百怪”的应?场景。
对洞态社区的贡献or想法
基于公司业务实现需要,在开发过程中,对洞态做了哪些升级和改造?
在使?过程中,也遇到过?些?问题,如发现response?度参数bug、结果数据?法导出等。
洞态IAST拥有良好的开源社区?态,bug和需求只要合理都会得到反馈,帮忙解决了很多问题。
个??身也会?所能及地解答社区中的使?问题,和?家共同探讨学习成?很快。
对洞态的期待
根据公司实际应用场景,你最期待洞态未来会开发的新功能是什么?
希望洞态IAST未来能在web平台的管理功能上继续优化,如多维度统计分析、URL?名单等。
对于?多数甲?安全团队来说,安全运营效率提升需要?期的统计分析数据?持,如果能做到可以直接?平台数据做安全考核指标那就更好啦!
相信你看完本期采访对洞态有了进一步了解
洞态商业版本在 2022年05月18日 发布
部分功能仅商业版可用,开源版与商业版差异,请参阅以下附件:
文章图片
申请洞态商业版产品试用。领取白皮书资料
请填写表单免费申请:https://wenjuan.feishu.cn/m?t...
关于洞态:
“洞态” 是全球首个开源 IAST 产品,专注于 DevSecOps,具备高检出率、低误报率、0脏数据的特点,帮助企业发现并解决应用上线前的安全风险。
关于火线安全:
火线安全主要运营火线安全平台、火线Zone云安全社区、洞态 、火线安全云。通过自主研发的自动化测试工具和海量的白帽安全专家,助力企业解决应用生命全周期的安全风险。
火线安全平台:https://www.huoxian.cn/
【洞态在某互联??融科技企业的最佳落地实践】火线Zone社区:https://zone.huoxian.cn/?sort...
推荐阅读
- 孔松(信通院)-数字化时代云安全能力建设及趋势
- 「云原生的进阶之路」|【Docker 那些事儿】容器数据卷的妙手
- K8s 之 ApiServer 组件风险
- 云计算|Linux 常用网络命令大全
- 在 KubeSphere 部署 Wiki 系统 wiki.js 并启用中文全文检索
- 准备好迁移上云了(请收下这份迁移步骤清单)
- 「云原生的进阶之路」|【Docker 那些事儿】关于容器底层技术的奥秘
- 「云原生的进阶之路」|【Docker 那些事儿】如何安全地停止、删除容器
- 「云原生的进阶之路」|【Docker 那些事儿】关于Namespace隔离机制的奥秘