洞態(tài)距正式開源已有10個(gè)月，用戶已超過200家企業(yè)，覆蓋互聯(lián)網(wǎng)、汽車、金融等多個(gè)重要行業(yè)。

洞態(tài)是如何在互聯(lián)??融科技企業(yè)落地實(shí)踐的呢？我們本期采訪了安全架構(gòu)師 PK，聽聽他是怎么說的吧。

視頻鏈接：https://www.bilibili.com/video/BV1LS4y1p7AX?spm_id_from=333.999.0.0

個(gè)人介紹

?家好，我是pk，?前在?家互聯(lián)??融科技企業(yè)，負(fù)責(zé)公司業(yè)務(wù)安全和數(shù)據(jù)安全。

和洞態(tài)的結(jié)緣

上線前檢測(cè)的優(yōu)勢(shì)，?前正在使?哪些安全檢測(cè)?具，以及優(yōu)劣勢(shì)？

應(yīng)?安全作為業(yè)務(wù)安全的核?，是我們?前?項(xiàng)重點(diǎn)?作。

在上線前設(shè)?安全卡點(diǎn)可以“短平快”地發(fā)現(xiàn)?部分安全?險(xiǎn)，也是安全檢測(cè)的最佳落地實(shí)踐。

我司已經(jīng)具備相對(duì)完善的DevOps流?線，也采?了傳統(tǒng)安全檢測(cè)?段，?如編碼階段?盒（SAST）+測(cè)試階段?盒（DAST）。

但傳統(tǒng)檢測(cè)?段的通病?樣?法避免，?如誤報(bào)率過?、?法精準(zhǔn)定位并復(fù)現(xiàn)等等，嚴(yán)重影響?常安全運(yùn)營效率。

為什么選擇洞態(tài)？有哪些獨(dú)有的優(yōu)勢(shì)？

因?yàn)闄C(jī)緣巧合，在?線成?初期就第?時(shí)間接觸到了洞態(tài)IAST。

相較于傳統(tǒng)的SAST+DAST安全檢測(cè)，洞態(tài)IAST除了可以明顯提?漏洞準(zhǔn)確度，還具備可快速融?公司DevOps流?線的優(yōu)勢(shì)。

對(duì)于業(yè)務(wù)同學(xué)使?體驗(yàn)較好，不會(huì)產(chǎn)?明顯割裂感，達(dá)成了“業(yè)務(wù)與安全并進(jìn)”的安全?標(biāo)。

洞態(tài)的落地實(shí)踐

洞態(tài)在貴公司已經(jīng)應(yīng)用到哪個(gè)階段？

在技術(shù)選型初期我們已經(jīng)充分考慮到業(yè)務(wù)使?的便利性，所以我們已經(jīng)將洞態(tài)agent集成到了CI/CD構(gòu)建流程中，應(yīng)?發(fā)布時(shí)會(huì)?動(dòng)集成洞態(tài)agent，基本實(shí)現(xiàn)了安全接?業(yè)務(wù)?感知，所以推?初期還算順利。

?前仍處于推?期，已經(jīng)覆蓋?約50%業(yè)務(wù)。

在使?過程中，洞態(tài)IAST幫助我們及時(shí)檢測(cè)到了多少開發(fā)漏洞？

我們的檢測(cè)場(chǎng)景分為傳統(tǒng)web漏洞 + 敏感數(shù)據(jù)檢測(cè) 2個(gè)?向。

從實(shí)際效果來看，2個(gè)?的時(shí)間收獲了2000+敏感數(shù)據(jù)傳輸，60+?危web漏洞，200+?危開源組件漏洞。

（此處與公司業(yè)務(wù)形態(tài)強(qiáng)相關(guān)，互??業(yè)?帶較強(qiáng)的個(gè)?信息屬性）

洞態(tài)IAST的哪個(gè)功能實(shí)?性最?，與公司的實(shí)際業(yè)務(wù)場(chǎng)景更匹配

洞態(tài)IAST??由度的?定義規(guī)則?分強(qiáng)?，從污點(diǎn)源函數(shù)、污點(diǎn)傳播函數(shù)，到過濾函數(shù)、危險(xiǎn)函數(shù)，甚?header?名單，能?由組合以滿?我司“千奇百怪”的應(yīng)?場(chǎng)景。

對(duì)洞態(tài)社區(qū)的貢獻(xiàn)or想法

基于公司業(yè)務(wù)實(shí)現(xiàn)需要，在開發(fā)過程中，對(duì)洞態(tài)做了哪些升級(jí)和改造？

在使?過程中，也遇到過?些?問題，如發(fā)現(xiàn)response?度參數(shù)bug、結(jié)果數(shù)據(jù)?法導(dǎo)出等。

洞態(tài)IAST擁有良好的開源社區(qū)?態(tài)，bug和需求只要合理都會(huì)得到反饋，幫忙解決了很多問題。

個(gè)??身也會(huì)?所能及地解答社區(qū)中的使?問題，和?家共同探討學(xué)習(xí)成?很快。

對(duì)洞態(tài)的期待

根據(jù)公司實(shí)際應(yīng)用場(chǎng)景，你最期待洞態(tài)未來會(huì)開發(fā)的新功能是什么？

希望洞態(tài)IAST未來能在web平臺(tái)的管理功能上繼續(xù)優(yōu)化，如多維度統(tǒng)計(jì)分析、URL?名單等。

對(duì)于?多數(shù)甲?安全團(tuán)隊(duì)來說，安全運(yùn)營效率提升需要?期的統(tǒng)計(jì)分析數(shù)據(jù)?持，如果能做到可以直接?平臺(tái)數(shù)據(jù)做安全考核指標(biāo)那就更好啦！

相信你看完本期采訪對(duì)洞態(tài)有了進(jìn)一步了解

洞態(tài)商業(yè)版本在 2022年05月18日 發(fā)布

部分功能僅商業(yè)版可用，開源版與商業(yè)版差異，請(qǐng)參閱以下附件：

洞態(tài)開源與商業(yè)版區(qū)別

申請(qǐng)洞態(tài)商業(yè)版產(chǎn)品試用。領(lǐng)取白皮書資料

請(qǐng)?zhí)顚懕韱?strong>免費(fèi)申請(qǐng)：https://wenjuan.feishu.cn/m?t=sEKos4DXXCCi-m2hs

關(guān)于洞態(tài)：

“洞態(tài)” 是全球首個(gè)開源 IAST 產(chǎn)品，專注于 DevSecOps，具備高檢出率、低誤報(bào)率、0臟數(shù)據(jù)的特點(diǎn)，幫助企業(yè)發(fā)現(xiàn)并解決應(yīng)用上線前的安全風(fēng)險(xiǎn)。

關(guān)于火線安全：

火線安全主要運(yùn)營火線安全平臺(tái)、火線Zone云安全社區(qū)、洞態(tài) 、火線安全云。通過自主研發(fā)的自動(dòng)化測(cè)試工具和海量的白帽安全專家，助力企業(yè)解決應(yīng)用生命全周期的安全風(fēng)險(xiǎn)。

火線安全平臺(tái)：https://www.huoxian.cn/

火線Zone社區(qū)：https://zone.huoxian.cn/?sort=newest