来福:精益管理,持续创业,财务自由❤

火线安全发布全球首个IAST开源项目“洞态”

2021-08-30 17:40
作者 | 卢中阳、赵志坤
编辑 | Milan  

2021年 9 月 1 日,科技共识旗下火线安全平台宣布将于 9 月 1 日正式开源 DevSecOps 应用安全产品“洞态”,这也将是全球专业 IAST(交互式应用程序安全测试)领域的首个开源项目。

据悉,9 月 1 日下午 14:00,火线安全平台将在线下举行洞态 IAST 开源发布会,并在线上直播。届时,洞态 IAST 产品负责人 owefsad 将详细介绍洞态产品及开源参与方式,来自去哪儿、轻松筹等公司的安全工程师现身说法、介绍基于洞态 IAST 在企业的最佳实践。

发布会还邀请了云原生社区创始人 Jimmy Song、微博 CSO 邹庆、奇绩创坛合伙人曹勖文、“M 小姐研习录”作者莫妮卡与火线创始人邬迪共同探讨安全产品的开源和开源软件的安全。微信搜索公众号“洞态”即可报名参加发布会直播。

2021 年 9 月 1 日,洞态 IAST 正式在 Github 和 Gitee 两个社区同时开源,项目地址如下:

https://github.com/HXSecurity/DongTaihttps://gitee.com/HXSecurity

欢迎感兴趣的安全爱好者试用并参与贡献。

TGO 采访了北京科技共识有限公司联合创始人卢中阳,以下为采访记录:

TGO 1: 能介绍一下火线安全吗?

卢中阳:火线是国内知名的白帽子平台,拥有大量安全专家及头部互联网和金融客户,包括去哪儿网、轻松筹、百世快递、同程旅行、掌门 1 对 1 等知名公司都已将洞态 IAST 作为 DevOps 环节中的重要安全工具。

TGO 2: 为什么取名叫“洞态”?

卢中阳:当时是头脑风暴时一位同学提出来的。安全行业有个词叫“态势感知”,大体意思是基于对全局安全数据的动态识别来促进企业安全能力的落地。我们觉得这个概念适合用在软件漏洞的检测上,就把“漏洞”和“态势感知”结合在一起,形成了“洞态”。

TGO 3: 火线平台作为国内最大实名黑客社区,此次“洞态”开源,对你们公司和行业有什么重大意义?

卢中阳:“洞态”的使命是“让每个企业都能发布安全的软件”,开源是我们实现这个愿景非常重要的一步。因为技术迭代速度很快,全世界黑客攻击的场景随着技术的迭代也在飞速变化,但不管是甲方安全工作者,还是在乙方进行安全产品研发的开发者,安全资源都是有限的,再加上行业属性的原因,大家都会把代码、检测规则看成自身的技术壁垒,导致从最新的攻击场景到标准的安全产品检测能力之间出现鸿沟,不利于行业的发展。我们通过开源的方式,将火线社区的白帽子、软件开发者、甲方的安全工作人员连接在一起,可以发现更多的安全场景,推动 DevOps 领域的产品和技术创新,进而将这些技术创新回馈给社区和行业。未来,我们希望基于开源和社区的力量,在安全领域创造出更多可能性。

TGO 4:“洞态”从开发到上线花了多长时间?研发团队多少人?投入了多少财务成本?

卢中阳:从 2018 年底开始调研技术方案,2019 年正式开发,到目前已有 2 年半时间,前后有十几位研发同事参与,整体投入也超过了千万级。

TGO 5: 技术研发和管理过程中,有没有遇到什么困难,是如何解决的?

卢中阳:主要是招聘的问题。工程师招聘本身就很难,技术圈有个说法:“一个靠谱的工程师的创造的价值是普通工程师效率的 10 倍”,导致技术圈的招聘的竞争很大,经常遇到一个不错的候选人,下次沟通时已经入职别家公司了。IAST 又属于相对小众并且对底层技术要求非常高的方向,每种语言的 Agent 都需要有人开发和维护,招聘的难度更高。最开始是几位合伙人自己去招,从安全圈里的朋友、老同学、老同事、网友、同事内推等等,因为做网络安全、也在做全世界第一个开源的 IAST 产品,对有些有技术情怀的同学有很大的吸引力,大家基于对公司的信任和对方向的认可加入我们。后来团队也有了 HR 加入,后续能够逐渐扩展新的招聘渠道,目前工程师团队和招聘都属于相对稳定的状态了。

另外一个是技术方案的选择和实现上,目前所有 IAST 类产品(包括“洞态”的第 1 版),漏洞检测都是在 Agent 端实现,检测后、将有漏洞的请求调用链数据发送到云端。这会导致 Agent 过于复杂,稳定性变差。作为一个社区化的产品,我们希望有更好的技术方案和产品体验,经过测试和调研,最终采用云端检测,Agent 只负责数据采集和上报,有新的检测规则也无需 Agent 端重放,同时可以方便贡献者基于云端脱敏的调用链数据贡献策略。但这就会带来一些列新的技术问题:基础架构调整、调用链数据脱敏、云端调用链构建、不同语言 Agent 上报数据格式统一等等。不过团队同事技术水平都不错,经过大家不懈努力,目前开源的版本就是基于云端检测的。

TGO 6:“洞态”面向的目标客户是哪些?主要是解决什么问题?能给客户带来什么全新的体验?

卢中阳:作为一款开源的 DevSecOps 产品,所有符合 DevOps 开发流程的软件都是我们的目标用户,无论是大企业的软件开发团队还是个人软件开发者,都可以通过“洞态 IAST”实现漏洞的快速识别,在上线前解决安全风险。

“洞态”主要解决上线前通用漏洞的发现,通过低侵入性的技术方案实现了与 DevOps 流程及应用程序的无感接入,同时,“洞态”可以精准的定位到代码行及参数,让开发者完整的看到漏洞在代码上的触发链路,方便开发人员理解漏洞,快速修复漏洞。此外,“洞态”是在云端检测漏洞的,当新漏洞报出来的时候,可以第一时间在云端进行测试,不需要重新触发请求来检测漏洞,大大提高企业内部对漏洞的应急响应速度与处置效率。当然和传统的黑白盒漏洞检测产品相比,IAST 这种技术本身就拥有准确率高、检测实时性强的特性。

TGO 7:“动态”有哪些技术优势?

卢中阳:一是洞态完全基于“值匹配算法“和”污点跟踪算法”对漏洞进行检测,准确率高,无需采集和重放流量,适配各种场景下的漏洞检测,还不会产生脏数据,干扰正常的开发测试流程。二是对于检测发现的漏洞,洞态根据外部可控数据的传播过程,完整地还原漏洞触发流程,帮助 DevOps 团队快速理解漏洞、定位漏洞,更好地解决漏洞,提高研发人员漏洞修复的效率。和业内同类产品“重 Agent 端、轻服务端”的架构不同,洞态的 Agent 端仅用于实现数据监听,漏洞检测全部在服务端完成,大大降低了维护成本。三是洞态 IAST 目前已积累了大量的安全测试实例,对 OWASP 官方靶场的漏洞检出率高达 100%,能够全面覆盖企业常见的所有主流漏洞类型。




点击『阅读原文』加入TGO鲲鹏会!


来源: mp.weixin.qq.com/s/?id=dc2f893c506a7b7005ec2f08f2a34b71&source_url=https%3A%2F%2Fmp.weixin.qq.com%2Fs%2F1o-pFMQTgRKHGxdve_DsjQ

阅读:2172809 | 评论:0 | 标签:自媒体

想收藏或者和大家分享这篇好文章→复制链接地址

“火线安全发布全球首个IAST开源项目“洞态””共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

收集各种优质投资、金融、时政的文章,帮助一级/二级投资人做出正确判断,收获α+β收益

标签云