灰盒安全测试平台-IAST-交互式应用安全检测-开源网安

中文

English

开源网安灰盒安全测试平台

自主研发，可与DevSecOps无缝融合

产品介绍

开源网安灰盒安全测试平台(VulHunter)，是国内首款基于IAST交互式应用程序安全测试技术自主研发的灰盒安全扫描检测产品，通过使用插桩技术和流量代理，在研发测试阶段对运行时的应用及API进行漏洞实时检测。VulHunter支持对应用系统检出漏洞的全生命周期管理，支持多维度应用安全管控，具有「高覆盖、低误报、实时检测」等优点，可与DevSecOps流程无缝融合。

需求分析

漏洞检测准确率低

大部分的安全测试工具普遍存在高误报率或高漏报率问题，需要耗费大置人力和时间分析排查误报真实性，导致软件开发进度容易陷入瓶颈。

测试工具与测试结果难关联

在企业安全体系建设的工具链构造阶段，许多安全工具难以有效地关联漏洞源码、漏洞请求等安全测试结果，无法很好地为企业安全体系建设提供正向反馈。

自动化流程容易被阻断

大部分的安全测试工具需要在正常开发流程外独立运行，导致检测结果无法被及时获取。当安全问题发生时，项目团队难以及时进行分析和修复，从而使自动化流程容易被阻断。

安全人员资源不足

现代的企业应用软件发布周期越来越短，但企业安全人员配备少，安全测试无法跟上发布速度，导致安全测试不充分，系统带病上线。

漏洞信息不全面

大部分的安全测试工具仅提供单一的源码信息或对应的请求信息，导致源码和请求信息不能有效结合，从而使开发和安全人员在进行重现、定位和修复问题时产生不便。

对开源组件的检测仅覆盖冰山一角

现代应用的开发高度依赖开源软件组件，然而大部分的安全测试工具对开源软件组件检测的覆盖度不够深入，难以达成全面检测。

产品方案

产品效果

无需更改测试流程

运用插桩、流量模式检测模式，无须改变现有测试流程。

大幅提升测试效能

支持对运行时应用的第三方软件漏洞进行检测，测试更全面，同时支持自验证、修复验证等多种验证方式,大幅降低误报率；去专业化能力强，让开发和测试人员功能测试的同时可完成安全测试，大幅提升测试效能。

持续提升代码编写水平

可提供代码定位、请求信息、数据流信息等全面的漏洞信息及修复方案，输出专业的应用安全报告，帮助开发人员不断优化代码质量，养成规范编码的习惯，持续提升代码编写水平。

产品优势

丰富的检测模式，检测场景多样化

◆ 支持被动插桩、主动插桩检测模式
◆ 支持流量代理、流量镜像、流量嗅探检测模式
◆ 支持单机应用检测、RPC协议检测
◆ 支持全链路跟踪微服务应用的各种复杂场景检测
◆ 支持对上千应用程序并发安全检测

兼容多种应用环境，安全检测能力更全面

◆ 支持Java、Node.js、C#/.Net、PHP、Python、Go检测语言
◆ 支持Netty、Play、Spring Framework等11种主流 Web应用框架
◆ 支持Tomcat、Weblogic、ApusicVlO、TongWeb等13种主流和国产Web容器
◆ 支持CWE、OWASP等多种安全检测标准

多维度安全风险管理，应用安全有保障

◆ 支持注入型漏洞、逻辑漏洞、敏感信息等90种以上漏洞检测规则并持续更新
◆ 支持开源组件安全检测，并提供漏洞详细信息
◆ 支持应用功能测试覆盖度可视化
◆ 支持漏洞自验证、修复验证、辅助验证等多种验证方式
◆ 支持企业根据自己的安全标准自定义漏洞规则

部署简单，探针管理方式丰富

◆ 支持冷部署、热部署及脚本部署，支持流水线集成
◆ 支持CPU、内存等多种类型探针熔断机制
◆ 支持高并发、性能优先等多种探针使用应用场景
◆ 支持监控探针服务器健康检测

企业级安全产品，使用更放心

◆ 支持对检出漏洞信息加密存储和加密传输
◆ 支持用户细粒度的权限控制
◆ 支持系统关键操作留痕及系统水印

集成DevSecOps解决方案

◆ 支持集成Jira、禅道等项目管理平台，无缝融合企业流程
◆ 提供标准API接口，支持定制化业务场景的需求
◆ 支持与Jenkins等Cl/CD平台集成，提供Jenkins插件
◆ 支持对接DevOps平台，实现自动化测试
◆ 支持单点登录集成与LDAP集成

扩展阅读