同程旅行 IAST 实践
同程旅行 IAST 落地实同程旅行是最先部署洞态 IAST 的企业之一。在未部署 IAST 前,同程旅行的漏洞检测修复速度一定程度上拖慢了应用更新迭代的进度,急需一款高效的自动化漏洞检测工具来提升安全能力。经过一系列的调研与考察,我们感叹于洞态 IAST 强大的检测能力和优越的兼容性,最终选定洞态 IAST 作为自动化漏洞检测的主力工具,整个部署调优的过程也得到了洞态团队的全力支持。以下为同程旅行的 IAST落地实践:
01 安全困境
随着敏捷开发和 DevOps 在同程软件开发上的应用,软件开发明显提效增速,但也给安全部门带来了较大压力。在这一背景下,同程面临着以下问题:
• SAST、DAST、人工渗透测试、人工代码审计无法跟上软件开发的速度与规模
• 针对框架结构复杂的接口,一般测试无法完全复现过程中的交互流量
在这一困境下,安全如何更好地嵌入应用开发流程?
同程给出的答案是:安全需要具备 “简单、快捷、持续” 的特性,主动去适应敏捷开发和DevOps。
02 自动化漏洞检测工具调研
在自动化漏洞检测工具调研过程中,我们首先对 SAST、DAST 和 IAST 进行了对比。综合比较来看,IAST 明显优于 SAST 和 DAST。
针对 IAST 的专项调研,其实我们率先考虑的是采用商用型还是开源型。促使我们选择开源型 IAST 的主要原因在于开源型工具可针对自身业务场景进行二次开发,此时,洞态 IAST 已进入我们的考察视野中,并最终决定采用。
洞态 IAST 调研结果:
1. 领先的技术架构
2. 强大的检测能力
• API 检测全面覆盖
• 自动化漏洞验证
3. 开源项目
• 活跃的开源社区,可持续贡献安全策略
• 企业可进行二次开发,效率更高,且更贴合自身业务场景• 部署使用成本低
03 同程 IAST 落地推广
1. 部署架构
IAST 是基于同程内部的自动化构建平台进行的部署,这种部署不同于 K8s、CI/CD 集成部署。在容器平台上,对 Web、WebAPI、Engine、OpenAPI 四部分进行分开部署。而 OpenAPI 作为 Agent 的 Server,可在流量较大时,启动自适应功能,从而使容器自动扩容。
2. Agent 安装
• 自动化部署平台:构建 dockerfile 中添加 Agent 部署的逻辑
• 非自动化部署平台:用户(测试人员)下载 Agent,根据 pid 主动安装
3. IAST 测试
• 调研公司内部环境兼容性
4. IAST 推广
当 IAST 的部署和测试的流程完毕后,安全部门的动作应是让业务接受并乐于使用 IAST,让 IAST 真正运行起来。
Ⅰ. 发挥安全的主动性,主动贴合业务流程
• 培训和文章推广:在公司内部开展周期性的安全培训和安全发文,介绍 IAST
• 根据发现的安全事件,主动推动和提供给业务线安全能力• 与测试团队合作,推动 SDL 安全能力融入测试流程
Ⅱ. IAST 场景应用探索——产品上线前的测试流程
• 测试接入 IAST,测试结果反馈安全对接人
• 安全部门复测检出漏洞,报告反馈测试对接人
• 测试提交漏洞至 bug 平台
• bug 修复后,测试反馈安全复测,复测通过,IAST 平台漏洞闭环
测试 bug 的闭环流程,将安全加入测试中,在测试和安全部门之间建立沟通,既利于解决传统测试过程中缺失安全报告的问题,也利于使安全更合理地融入开发流程,减少安全风险。
对 IAST 的未来规划
实际使用感受:
1. 部署洞态 IAST 产生的价值:
• 检测漏洞更高效,覆盖的漏洞更全面
• 洞态 IAST 的漏洞详情十分详细,漏洞直接定位到代码行数,并可完整的还原漏洞触发流程,利于开发部门修复
• 误报率相比白盒低很多,复测漏洞所消耗的人力更少
• 高效、误报低的特点提高了安全部门的价值,其他部门对安全的认可度更高,也间接推动了安全部门与其他部门的沟通合作
2. 对原本服务的影响:
在大规模推广 IAST,安装 Agent 后,对接口反应时长会有一定影响,但影响不大。
3. 缺点:
部分中低危漏洞存在误报现象(洞态说明:因为同程目前部署的是 v1.0.3 版本,新版本对误报现象已有很大改善了哦)
洞态点评:
同程旅行的 IAST 实践突出亮点在于其安全理念。同程安全部门强调发挥安全的主动性,主动去适应业务的变化,主动培养同事的安全意识,让整个企业内部达成 “安全不是流程的关卡而是齿轮,串联起应用整个生命周期” 的安全共识,这对于 IAST 的推广使用能达到事半功倍的效果。此外,同程安全部门还能贴合使用场景,挖掘 IAST 的潜力,对 IAST 进行自动化部署、自动化复测、结果产出更贴合业务的改造,相信洞态 IAST 在同程旅行内能发挥其最大的价值。
关于洞态 IAST
洞态 IAST 是全球首个开源 IAST 产品,于2021年9月1日正式开源发布。洞态 IAST 专注于 DevSecOps,具备高检出率、低误报率、无脏数据的特点,帮助企业在应用上线前发现并解决安全风险。自开源发布以来,洞态 IAST 备受开源社区人员和企业的关注,包括工商银行、去哪儿、知乎、同程旅行、轻松筹等在内的上百家企业都已成为洞态用户。
同程旅行 IAST 实践相关推荐
- 同程旅行王晓波:同程凤凰缓存系统在基于 Redis 方面的设计与实践(上篇)
王晓波 同程旅行机票事业群 CTO 读完需要 12 分钟 速读仅需 4 分钟 本章和大家分享一下同程凤凰缓存系统在基于 Redis 方面的设计与实践.在本章中除了会列举我们工作过程中遇到各种问题和误区 ...
- 同程旅行Hadoop集群跨机房迁移实践
本文作者:郭飞.现任同程旅行技术专家. Apache Hadoop.Hive.Spark contributor 背景 随着同程旅行业务和数据规模越来越大,原有的机房不足以支撑未来几年的扩容需求,同 ...
- 同程旅行大数据集群在 Kubernetes 上的服务化实践
本文将向大家介绍同程旅行大数据集群在 Kubernetes 上服务化建设的一些实践和经验. 同程旅行大数据集群从 2017 年开始容器化改造,经历了自研调度 Docker 容器 ,到现在的云舱平台,采 ...
- 干货 | 携程旅行App iOS工程编译优化实践
作者简介 天超,携程资深软件工程师,关注iOS研发,喜欢用脚本语言解决各种难题. 引言 开发效率的提升,是开发者关注的一个永恒的话题.对于iOS而言,编译速度一直是影响iOS开发和集成测试效率关键的一 ...
- RocketMQ 在同程旅行的落地实践
本文作者:刘树东 - 同程艺龙技术专家 01/使用概况 同程旅行选择RocketMQ主要基于以下几个方面的考虑: 技术栈:公司主要以 Java 开发为主,因此我们倾向于选择一款用 Java 实现的MQ ...
- 同程旅行王晓波:如何改变 Redis 用不好的误区
王晓波 同程旅行 机票事业群 CTO 读完需要 4 分钟 速读仅需 2 分钟 本章和大家分享一下同程凤凰缓存系统在基于 Redis 方面的设计与实践.如何改变 Redis 不好用的误区 本文节选自中生 ...
- 查询空缺_携程旅行2021校招开启,9大类职位,1000+岗位空缺,本科及以上学历...
携程旅行2021秋季校招正式开启! 携程集团(纳斯达克股票代码:TCOM)是一家领先的在线旅游服务提供商,旗下品牌包括携程.Trip.com.天巡和去哪儿.携程集团能够整合复杂的旅游相关信息并通过其先 ...
- 互联网晚报 | 12月16日 星期四 | 爱奇艺宣布会员涨价;同程艺龙更名为同程旅行;短视频不得未经授权剪辑影视剧...
今日看点 ✦ Gartner最新报告:阿里云IaaS基础设施能力全球第一 ✦ 同程艺龙更名为同程旅行,品牌走向一体化 ✦ 小米私募股权基金完成备案,雷军为实际控制人 ✦ 百济神州正式登陆科创板,首 ...
- 互联网晚报 | 8月28日 星期六 | 我国网民规模超10亿;vivo首款自研影像芯片下月首发;同程艺龙拟改名为同程旅行...
今日看点 ✦ CNNIC:我国网民规模达10.11亿,互联网普及率达71.6% ✦ 欢聚集团回应将私有化:公司没有收到任何私有化邀约 ✦ vivo官宣V1自研影像芯片,9月X70系列旗舰新品首发 ...
- 同程旅行春节旅行数据:冬奥会带火冰雪游 90、00后预订占比过半
2月6日消息,同程旅行发布<2022春节假期旅行消费数据报告>(以下简称"报告"),对春节假期期间全国旅行消费市场进行分析盘点. 报告显示,2月4日,北京冬奥会正式开幕 ...
最新文章
- ubuntu 18.04 配置notebook远程连接的坑
- 你不应该忽略的五个机器学习项目一览
- java遍历对象属性_java开发中遍历一个对象的所有属性并set值 缓存优化
- 带有示例的Python列表reverse()方法
- sql出现列名无效的原因_学会SQL并不难,小白学习记录之二(简单查询)
- python 回归去掉共线性_线性回归中的多重共线性与岭回归
- sizeof(std::string) 的大小
- opencv访问图片的每一像素
- 安装程序总是提示重启计算机,技巧|安装西门子软件反复提示重启电脑的解决方法...
- OpenWrt路由器无线中继、桥接、信号放大、访客网络的实现方案
- SNMP配置:view配置中mask参数的详解
- 基于网络嵌入和语义表征的作者名消歧
- windows 10如何设置局域网共享文件夹,详细教程
- 国产工业软件仍未迎来黎明
- avro 文件的使用
- REST API规范
- linux资源查看命令详解大全[top|vmstat|free]
- 上行参考信号-SRS
- 最详细AMD Ryzen CPU,VMware 16安装macOS 11.x BigSur记录(第二篇)
- 《A non-contact eye-gaze tracking system for human computer interaction》论文阅读