悬镜灵脉IAST灰盒WEB安全测试平台-
IAST某头部新能源厂商应用案例
项目背景:
● 在全球新能源汽车智能网联化的大趋势下,车联网用户个人信息泄漏风险日愈增加,而应用安全漏洞是数据泄漏的关键入口之一。某企业作为国内造车新势力头部厂商,期望加强自研软件开发安全管理能力、提升行业竞争力,在建立了基础的安全开发制度、安全需求和编码规范后,需要进一步提升应用发布时安全测试能力,实现100%应用安全测试全覆盖,并能够及时在应用上线前发现安全问题。
解决方案 :
● 由于企业自研应用开发模式采用敏捷模式,并使用自研CI/CD流水线将 容器镜像 作为制品发布,因此,部署灵脉IAST后,可以通过修改控制应用构建的Dcokerfile文件,将agent探针自动植入目标应用,实现发布应用探针100%覆盖。后续在进行 自动化 或人工功能测试时,提前进行上线安全审查,减少发布应用漏洞。
用户收益:
● 该车企累计插桩节点数量7W+,日均检测迭代应用数达500+,覆盖APP应用及车载应用后台服务,应用漏洞发现率提升了60%。
● 敏捷模式下应用开发发布迭代速度较快,导致该车企过往对微服务管理混乱,灵脉IAST探针自动化部署后,帮助该车企全盘梳理及完善内部微服务和API资产。
● 结合安全编码规范要求,对高频编码缺陷进行检验,形成管理闭环;通过接入上线测试流程,建立左移安全测试抓手,进一步辅助该车企安全开发体系落地。
IAST某头部国有银行应用案例
项目背景:
● 该行作为国有四大银行之一,个人客户9亿+,日均1.8亿笔快捷支付交易,为了有效支撑高速发展的金融业务,从传统IT架构向 云原生 架构转型,建立了以容器技术为核心的云平台、基于微服务的分布式体系。与此同时,业务量持续扩大、容器 镜像 等技术的应用也带来了更多的攻击面,为了保障业务安全、提升漏洞发现能力、减少上线后应用风险漏洞爆发带来的巨额损失,该行规划进一步增强左移安全建设。
解决方案:
● 引入灵脉IAST,结合行内自研的容器管理工具实现容器内自动化插桩,在现有业务系统中部署探针后,测试部门进行功能测试的
同时自动输出安全检测结果;同时对接行内身份认证平台、漏洞跟踪管理平台、容器编排工具等,实现整个应用开发流程的自动化安全管控。
用户收益:
● 通过灵脉IAST将安全能力嵌入 CI/CD,支撑该行七大的交互式漏洞检测,截至目前累计插桩节点数20万+,同时在线节点数5000+,检出高中低危漏洞万余个,落实开发测试阶段的安全保障。
● 灵脉IAST能理解应用程序的上下文环境,误报率远远低于传统测试技术,并在检测到漏洞时提供准确的问题定位信息,辅助该行软件开发人员在早期阶段快速修复问题,防止其演变为上线后需花费巨资加以修复的灾难性漏洞,达到降本增效的效果。
