hobby云说

前言 在之前的文章谈到的安全测试所在的三个阶段，并大概分析了三个阶段对应技术的优劣势，但是IAST那块因为内容太多并没有铺开来说，今天将着重来谈谈这个在安全测试里举足轻重的一员。 一、简介 IAST，全称是“Interactive application security testing”，翻译过来叫交互式应用安全测试，是一个能自动识别判断应用和API漏洞的一种工具，或者说一种技术。 1、产品上线前闭环漏洞 传统的漏扫工具是在应用上线后，对http(s)请...

1、背景 我在闲谈自动化应用安全测试工具中提到这么句话“如果能将安全融到DevOps里，又不影响现有的状态，那当然是最好不过了”，这个时候你可能就有疑问了，现有的安全测试模式是怎样的，为啥要做改变呢？为啥非要融到DevOps里面呢？我们来盘盘安全测试几大经典痛点。 DevOps的终极目标：提升软件交付的质量內建以加速流程。那么问题来了，这里的质量侧重点在功能，在于功能能用，好用。那么交付物的安全要如何保证呢？以前基本都是在程序/软件上线后，对其进行渗透、漏扫等待工作，来排除一...