产品简介

IAST交互式安全测试工具是全新一代“灰盒”代码审计、安全测试和第三方软件检测产品，是近年来兴起的一项新技术，被Gartner公司列为信息安全领域的0技术之一。融合了SAST和DAST技术的优点，无需源码，支持对字节码的检测。IAST极大的提高了安全测试的效率和准确率，良好的适用于敏捷开发和DevOps，可以在软件的开发和测试阶段无缝集成现有开发流程，让开发人员和测试人员在执行功能测试的同时，无感知的完成安全测试，解决了现有应用安全测试技术面临的挑战。

产品优势

1、无缝集成开发和测试阶段，“*”完成安全测试

适用于软件产品开发和测试阶段，可由开发工程师和测试工程师在执行功能测试的同时，无感知的“*”完成安全测试。整个过程无需安全专家介入，无需额外安全测试时间投入，不会对现有开发流程造成任何影响，符合敏捷开发和DevOps模式下软件产品快速迭代、快速交付的要求。

2、检测准确率高

能获得应用程序运行时的各类准确信息，再结合其规则定制功能，误报率极低。以业界作为安全测试工具检测的OWASP Benchmark项目为例，对Benchmark的2700多条测试用例和10余种漏洞类型的综合检测率均为，高于业界其他工具。

3、测试覆盖度高，受功能测试覆盖度保障

IAST交互式安全测试工具的安全测试受功能测试驱动，避免了类似于DAST检测技术所受到应用本身的限制，只要功能测试的覆盖度能够得到保证，安全测试的覆盖度就能得到保证，漏报率低。

4、实时检测，检测速度和应用程序复杂度无关

在完成应用程序功能测试的同时即可以实时完成安全测试，且不会受软件复杂度的影响，适用于各种复杂度的软件产品。

5、支持第三方软件信息检测

不但可以检测应用程序本身的安全弱点，还可以检测应用程序中依赖的第三方软件的版本信息和包含的公开漏洞。

6、无需源码，支持对字节码进行检测

IAST所采用的检测技术能够实现对字节码的检测，而无需源码。

7、支持较多的安全弱点类型检测

可获取的应用程序信息类型丰富，因此可覆盖检测所有DAST和SAST所能检测的安全弱点类型。

8、支持企业级的多项目并发检测

IAST Agent天然的支持分布式检测，使客户可同时对上百个应用程序执行安全检测。

9、完整的安全弱点信息

由于IAST交互式安全测试工具可获取更多的应用程序信息，因此发现的安全弱点既可定位到代码行，还可以得到完整的请求和响应信息，完整的数据流和堆栈信息，便于定位、修复和验证安全弱点。

10、部署和使用非常简单

IAST为满足不同的业务需求而提供两种不同的部署模式，且仅需部署Agent即可执行安全检测任务，部署和使用非常简单。

11、企业级的产品安全性

IAST对所发现的所有安全弱点信息都加密存储和加密传输；

细粒度的权限控制；

所有关键操作均有记录；

Agent支持网络代理；

支持本地部署。

产品功能

1、常见安全弱点检测

截至2018年5月，IAST已经支持近50种安全弱点的检测，能对应用程序执行覆盖了OWASP Top 10和CWE/SANS Top 25所包含常见安全弱点的检测。

2、第三方软件信息检测

IAST支持对应用程序依赖的第三方软件信息的检测，为开发团队准确识别和记录所依赖第三方软件的完整信息，帮助开发团队有效管理第三方软件的使用。检测的第三方软件信息包括第三方软件的版本信息、发布时间、版本信息、版本的发布时间、当前版本包含的CVE公开漏洞信息等。

3、第三方软件漏洞检测

IAST支持对应用程序依赖第三方软件的安全检测，能识别第三方软件当前版本中包含的CVE公开漏洞。

4、提供完整的安全弱点信息

IAST可提供完整的安全弱点信息，包括安全弱点的描述、风险、引入点、请求信息、数据流和修复方案等。

5、企业级的安全弱点管理

IAST支持Org和Group两级管理，每个企业管理员都可以创建若干个Group，且不同Group之间的数据都是互相独立的，对于不同角色的用户，都可展示对应的数据统计信息。

产品规格

1、产品形式：根据客户需求，提供SaaS和On-Premise两种产品形式。

2、支持的应用环境：

1)操作系统: 支持对各类操作系统上的应用程序执行检测。

2)开发语言: 目前专注于Java语言，支持对Oracle JDK和Open JDK 1.6~1.8应用程序的检测。

3)支持的Web服务器: 目前支持WebLogic、Tomcat和WebSphere等Web服务器，具体支持的Web服务器和版本信息见表1，其他主流Web服务器和版本也将陆续支持。

表1  IAST支持的Web服务器

3、产品性能

IAST对被测应用程序启动和运行时的性能影响均小于10%。考虑到IAST一般用于开发环境和测试环境，并非生产环境，因此对被测产品整体性能的影响很小。