Hello 大家好,欢迎来到新一期IAST百科全书,之前有同学提问IAST和RASP是不是非常类似,今天就专门给大家展开讲讲。
如果说SAST是从“内部”测试应用程序,DAST是从“外部”测试,那IAST就是“从内到外”进行测试,而RASP则是在应用运行时实时检测攻击,并能进行阻断。
IAST&RASP异同
IAST工具将agent安装到应用程序中,以便在应用程序运行时监视应用程序,扫描安全漏洞。agent收集应用程序中的数据,可以识别SAST和DAST工具遗漏的安全漏洞。
RASP和IAST一样,也需要通过在应用程序中安装agent,这是他们比较类似的地方。
不同之处在于agent的使用方式。IAST工具在应用上线前查找安全漏洞,agent是插桩在测试环境的,而RASP会监视应用程序是否存在攻击,并在检测到攻击发生的时候拦截攻击,保护应用程序,agent是插桩在生产环境的。
RASP的局限
RASP为已经上线的应用程序添加了一层保护,检查执行的每条指令,在发现攻击时会告警,并且实际上会停止导致攻击的命令执行,也就阻断了攻击。
与之相应的,RASP的代价是什么呢?
-
RASP插桩在生产环境,一定会降低应用程序的实际性能。
-
由于规则或内部策略可能会阻止安装其他软件,并不总是可以在生产环境中部署RASP的agent。
IAST vs RASP?
RASP可以增强应用的安全性,但这并不意味着你部署了RASP之后就可以高枕无忧,防范所有漏洞。
RASP无法取代AST,无论是IAST还是SAST、DAST。它们作用于应用程序不同的生命周期,相互之间应该说是互相补充的关系。
视频链接:IAST百科全书第16期:IAST与RASP的区别_哔哩哔哩_bilibili
好了,今天的IAST百科全书就到这里。关于IAST的更多落地实践,可以扫码看看洞态IAST的落地实践案例。
