Synopsys的Seeker 交互式應(yīng)用程序安全測(cè)試 （IAST） 程序監(jiān)控代碼、數(shù)據(jù)流和內(nèi)存，以識(shí)別敏感數(shù)據(jù)并確保它不會(huì)存儲(chǔ)在具有弱加密或不存在加密的文件或數(shù)據(jù)庫(kù)中。換句話說(shuō)，該工具不僅可以發(fā)現(xiàn)漏洞，還可以確定它們是否可以被利用。

通過(guò)自動(dòng)化運(yùn)行時(shí)測(cè)試，Seeker 動(dòng)態(tài)分析 HTTP 流量；后端連接；以及開(kāi)源、第三方和自定義應(yīng)用程序代碼，以將誤報(bào)與已識(shí)別的漏洞分開(kāi)。它測(cè)試應(yīng)用程序組件，包括：

語(yǔ)言，如 C#、JavaScript、PHP、Scala 等。

Java 和 .NET 等平臺(tái)和運(yùn)行時(shí)

NoSQL 和 SQL 等數(shù)據(jù)庫(kù)

應(yīng)用程序類(lèi)型，如 JSON、RESTful、移動(dòng)、Web API 等。

Azure、AWS、谷歌云等云平臺(tái)。

通過(guò)參數(shù)識(shí)別等功能，該工具然后隔離未使用參數(shù)等組件，并用惡意值填充它們，以確定代碼是否可以用作攻擊的后門(mén)。

敏感數(shù)據(jù)的風(fēng)險(xiǎn)以統(tǒng)一的實(shí)時(shí)視圖呈現(xiàn)給測(cè)試人員，其中包含對(duì)所有檢測(cè)到的漏洞的技術(shù)解釋。該工具還提供基于上下文的修復(fù)說(shuō)明和示例代碼修復(fù)，幫助減少團(tuán)隊(duì)調(diào)整設(shè)計(jì)中風(fēng)險(xiǎn)最大的部分所需的 DevOps 時(shí)間。

Synopsys 聲稱(chēng)該解決方案“比傳統(tǒng)的動(dòng)態(tài)測(cè)試更準(zhǔn)確”，還集成了 Black Duck Software 的二進(jìn)制分析，用于開(kāi)源漏洞、版本控制和許可覆蓋。

Synopsys Seeker IAST 行動(dòng)：

對(duì)于 CI/CD 和 DevOps 部署，Seeker 的本機(jī)集成和 Web API 允許將其添加到現(xiàn)有的構(gòu)建服務(wù)器和測(cè)試工具中，無(wú)論應(yīng)用程序是內(nèi)部部署、基于云還是容器化。這允許在軟件開(kāi)發(fā)生命周期的 QA 和測(cè)試階段實(shí)施該工具的運(yùn)行時(shí)分析和檢測(cè)技術(shù)，直至生產(chǎn)部署。

當(dāng)用于發(fā)現(xiàn)導(dǎo)致敏感數(shù)據(jù)的攻擊媒介時(shí)，測(cè)試人員首先標(biāo)記數(shù)據(jù)，例如信用卡信息、用戶名和密碼——或任何屬于 PCI 或 GDPR 等法規(guī)范圍內(nèi)的內(nèi)容。然后在每個(gè)應(yīng)用程序節(jié)點(diǎn)（例如容器、VM 和云實(shí)例）上部署 Seeker 代理，跟蹤應(yīng)用程序執(zhí)行的每個(gè)操作。這些代理由生成包含測(cè)試覆蓋計(jì)劃的自動(dòng) URL 映射實(shí)用程序支持。

然后，代理執(zhí)行逐行分析，檢查代碼、敏感數(shù)據(jù)和提供應(yīng)用程序組件全面覆蓋的數(shù)十萬(wàn)個(gè) HTTP（S） 請(qǐng)求的交互。HTTP 請(qǐng)求監(jiān)控有助于將誤報(bào)與真正的漏洞隔離開(kāi)來(lái)，Synopsys 表示，這將誤報(bào)率降低到不到 5%，而替代流程的平均誤報(bào)率為 20%。

Seeker 的測(cè)試結(jié)果顯示在綜合儀表板中，提供針對(duì) OWASP Top 10、PCI DSS、GDPR 和 CWE/SANS Top 25 的合規(guī)性分?jǐn)?shù)或評(píng)級(jí)。當(dāng)應(yīng)用程序有暴露敏感信息的風(fēng)險(xiǎn)時(shí)，儀表板還會(huì)顯示警報(bào)。

Seeker 還提供不顯眼的被動(dòng)監(jiān)控版本

審核編輯：郭婷