Blog
A lean model for security and security practices
IAST:交互式应用程序安全测试。监控应用程序在运行时的安全漏洞——测试时间。
RASP:运行时应用程序自我保护。监控应用程序,以检测其运行时的攻击——生产时间。
IAST 和 RASP 是应用程序运行时寻找问题的安全工具。对于 IAST,作为测试过程的一部分,其扫描漏洞。与此同时,RAST 检测生产环境中的攻击。
它是什么?
IAST 工具安装植入代码,称为“代理”,以在应用程序运行时监控应用程序并检查安全漏洞。代理收集程序内的数据,这些数据可以检测到被忽略的安全漏洞。
在应用程序中安装代理时,RASP 遵循与 IAST 相同的策略,区别在于如何使用代理。IAST 工具搜索漏洞错误,而 RASP 寻找攻击迹象,并在检测到攻击时保护应用程序免受攻击。
RASP 不会影响程序的架构。它为部署应用程序提供安全层,审查执行的任何 API,并决定给定 API 是否为潜在弱点或攻击。
IAST 和 RASP 均被视为第二代技术,其产生的假阳性/阴性低于测试应用和漏洞环境的旧方法。
有何益处?
IAST 和 RASP 都可以降低被攻击时中断或数据丢失的风险。
它们还为您的软件团队提供了更深入的系统知识。当问题不可避免时,它们会为团队提供快速根本原因分析和纠正的数据。
需考量的因素?
它们增加了开发人员正确使用工具的责任。这通常意味着安全团队和开发人员团队需要共同合作。我们认为这是件好事,但对某些组织而言,这可能是一种文化冲击。
如何应用?
它们越来越多地被用来将安全性设计性嵌入到开发环境中,其对于安全和成功交付至关重要。
相关主题
Would you like to suggest a topic to be decoded?
Just leave your email address and we'll be in touch the moment it's ready.