需要分析 IoT Web 應用程序中可能泄露敏感數(shù)據(jù)的漏洞嗎？需要遵守 PCI DSS 或 GDPR 等法規(guī)，但又不中斷您的持續(xù)集成和交付 （CI/CD） 工作流程？如果是這樣，您需要一個漏洞搜索器。

Synopsys的Seeker 交互式應用程序安全測試 （IAST） 程序監(jiān)控代碼、數(shù)據(jù)流和內存，以識別敏感數(shù)據(jù)并確保它不會存儲在加密較弱或不存在加密的文件或數(shù)據(jù)庫中。換句話說，該工具不僅可以發(fā)現(xiàn)漏洞，還可以確定它們是否可以被利用。

通過自動化運行時測試，Seeker 動態(tài)分析 HTTP 流量；后端連接；以及開源、第三方和自定義應用程序代碼，以將誤報與已識別的漏洞分開。它測試應用程序組件，包括：

語言，如 C#、JavaScript、PHP、Scala 等。

Java 和 .NET 等平臺和運行時

NoSQL 和 SQL 等數(shù)據(jù)庫

應用程序類型，如 JSON、RESTful、移動、Web API 等。

Azure、AWS、谷歌云等云平臺。

通過參數(shù)識別等功能，該工具然后隔離未使用參數(shù)等組件，并用惡意值填充它們，以確定代碼是否可以用作攻擊的后門。

敏感數(shù)據(jù)的風險以統(tǒng)一的實時視圖呈現(xiàn)給測試人員，其中包含對所有檢測到的漏洞的技術解釋。該工具還提供基于上下文的修復說明和示例代碼修復，幫助減少團隊調整設計中風險最大的部分所需的 DevOps 時間。

Synopsys 聲稱該解決方案“比傳統(tǒng)的動態(tài)測試更準確”，還集成了 Black Duck Software 的二進制分析，用于開源漏洞、版本控制和許可覆蓋。

Synopsys Seeker IAST 行動：

對于 CI/CD 和 DevOps 部署，Seeker 的本機集成和 Web API 允許將其添加到現(xiàn)有的構建服務器和測試工具中，無論應用程序是內部部署、基于云還是容器化。這允許在軟件開發(fā)生命周期的 QA 和測試階段實施該工具的運行時分析和檢測技術，直至生產(chǎn)部署。

當用于發(fā)現(xiàn)導致敏感數(shù)據(jù)的攻擊媒介時，測試人員首先標記數(shù)據(jù)，例如信用卡信息、用戶名和密碼，或者任何屬于 PCI 或 GDPR 等法規(guī)范圍的內容。然后在每個應用程序節(jié)點（例如容器、VM 和云實例）上部署 Seeker 代理，跟蹤應用程序執(zhí)行的每個操作。這些代理由生成包含測試覆蓋計劃的自動 URL 映射實用程序支持。

然后，代理執(zhí)行逐行分析，檢查代碼、敏感數(shù)據(jù)和提供應用程序組件全面覆蓋的數(shù)十萬個 HTTP（S） 請求的交互。HTTP 請求監(jiān)控有助于將誤報與真正的漏洞隔離開來，Synopsys 表示，這將誤報率降低到不到 5%，而替代流程的平均誤報率為 20%。

Seeker 的測試結果顯示在綜合儀表板中，提供針對 OWASP 前 10 名、PCI DSS、GDPR 和 CWE/SANS 前 25 名的合規(guī)性分數(shù)或評級。當應用程序有暴露敏感信息的風險時，儀表板還會顯示警報。

Seeker 還提供不顯眼的被動監(jiān)控版本

審核編輯：郭婷