一、解决方案简介

国舜IAST交互式安全测试技术融合了SAST和DAST技术的优点，可覆盖更多应用安全检测场景，无需源码，极大提高了安全测试的效率和准确率，更及时、准确地发现漏洞。适用于敏捷开发和DevSecOps，可在软件的开发和测试阶段无缝集成现有开发流程，让开发人员和测试人员在执行功能测试的同时对功能测试流量的采集、分析、识别实时动态检测，发现和捕获各种安全漏洞，无感知地完成安全测试，解决了现有应用安全测试技术面临的挑战，为客户系统上线前做到强有力的安全保障。

二、应用场景痛点简介

在云计算、大数据等技术颠覆性趋势继续在应用经济下发挥作用的同时，业务快速迭代等需求已经在业务决策中不可或缺。在当前应用驱动、云计算、移动化的大环境下，业务快速迭代将助力业务增值，但是企业信息安全的问题却没有能够跟上业务发展的节奏，这直接导致互联网行业的安全问题数量居高不下，并且在漏洞威胁方面不少的安全漏洞都会直接导致企业数据中心被入侵、数据库信息泄露、用户账号密码被窃取、客户资金受到严重威胁等等。在威胁排行方面互联网泄密事件、撞库攻击高居*****位，引用第三方不安全应用组件导致的安全问题及暴力破解攻击分列二三位，除此之外，sql注入攻击、跨站漏洞、逻辑问题、信息泄露等传统的应用安全问题也都悉数上榜。这些安全问题分布在电商、互联网金融、银行等等各个互联网领域，可以说是无孔不入，安全形势十分严峻。

由于绝大部分企业IT部门会采用开发团队负责价值交付、运维团队负责可用性保障、安全团队负责安全保障的方式完成IT业务的管理，导致大部分企业和机构的安全、开发和运维部门业务目标相互独立、割裂，有时甚至是对立和冲突，导致安全风险的闭环管理时间周期长、成本高。

安全活动介入软件开发生命周期的时间往往在上线前，集中式的进行安全测试，安全活动时间在项目中非常靠后，因此发现的安全问题，修复成本和周期过高，需要重新进入研发阶段修改代码，甚至是设计阶段修改产品架构，可能还会涉及到其他项目人员不懂安全，对当前安全问题反复修改，这往往涉及到三到四个部门沟通协调，使得漏洞的修复周期拖长；不仅仅是修复成本大，集中式的安全一般难以覆盖所有的安全问题，在人手和时间有限的情况下，漏洞容易被暴露到线上，给企业造成严重的风险。

传统安全测试工具对测试出来的安全风险信息，仅仅提供到请求与响应，在开发人员不懂安全的情况下，安全人员需要耗费大量的精力向开发人员解释漏洞，复现漏洞，讲解利用方式，修复方案，往往不会仅一次沟通，会涉及到多次跨部门沟通，沟通成本十分巨大。但是受限于安全测试类产品采用扫描的方式检测漏洞，请求与响应远远无法让开发人员独自理解漏洞，制定合理的修复方案，更需要数据执行流，漏洞代码，漏洞修复方案，漏洞成因及利用，漏洞判断依据来辅助研发独立完成漏洞修复，因此，漏洞信息详细度的缺乏造成现有安全测试流程周期大大加长。

当前市面上的安全测试类产品偏向专业工具，一般由专业的安全人员使用，测试流程与安全测试流程依然割裂，安全测试往往因为脏数据，并发大等问题影响正常功能测试，无法与功能测试或压力测试并行，依然是在功能测试之后，瀑布式的进行安全测试，并没有与测试流程很好的融合，无法缩短安全测试时间提高效率。

三、解决方案亮点介绍

国舜珍珑IAST是一款在业务上线前进行安全自检的智能工具。用户只需在的管理界面配置需要检测的项目，系统会根据用户配置的项目内容匹配对应流量，镜像至服务器后自动全面的检测流量数据，并快速生成漏洞报表，提供专业修复方案。

1.特点

1.1漏洞库

检测引擎需要根据漏洞库对业务画像进行风险的识别和确认，所以漏洞库的规模和质量非常重要。国舜珍珑IAST漏洞库拥有多种漏洞来源，可快速响应各类新型漏洞，并且在不断维护与优化已有漏洞检测插件提升性能。

1.2形成DevSecOps解决方案

适用于软件产品开发与测试阶段，可由开发工程师或测试工程师在执行功能测试的同时，无感知、“零成本”完成安全测试。整个检测过程无需安全专家介入，无需额外安全测试时间投入，不会对现有开发流程造成任何影响，符合敏捷开发和DevSecOps模式下软件产品快速迭代、快速交付的要求。

1.3较多的安全漏洞检测

可覆盖传统通用型漏洞的基础上，自主创建业务逻辑类漏洞检测引擎，支持账户体系场景+通用业务场景漏洞检测。

1.4漏洞库持续升级

多种漏洞来源快速响应各类新型漏洞，且不断维护与优化已有漏洞检测插件提升性能。

1.5检测准确率高

能获得应用程序运行时的各类准确信息，再结合其规则定制功能，误报率极低。

1.6准实时检测

在完成应用程序功能测试的同时即可完成安全测试。

2.优势

2.1.被动式IAST，具有近实时检测、高检出率、低误报率、低漏报率等优点；

2.2.无需重放数据包，可覆盖加密、防重放、验证码等真实业务场景；

2.3.不产生脏数据，不对测试人员工作造成任何干扰。

四、金融行业客户名单

泰安银行、汉口银行

五、客户评价

泰安银行：该产品通过把安全测试从生产阶段分离，使得我行团队可以提前捕获动态漏洞，进而降低漏洞修复成本、消除延迟、降低应用程序被破坏的风险。实现了DevSecOps流程左移，用在QA、测试、CI/CD阶段近实时检测，帮助开发在早期消除绝大多数漏洞；保证API安全性；支持宽范围的安全标准，包括OWASP Top10，PCI DSS，应用安全检测的报告可证明应用被完全安全测试过，以及漏洞的详情，显著加快审计和合规流程，并且确保产品的安全质量；大多数的开源漏洞很容易被忽视，珍珑IAST测试整个软件栈，确保了在所使用的库和框架中发现漏洞。