自如IAST在DevSecOps体系中的落地实践
核心观点与背景
自如作为一家提供高品质居住产品与生活服务的科技公司,已在北京等十座城市布局,服务近50万业主和500万自如客,管理房源超100万间。公司通过智慧运营、智慧组织等五大板块实现租住领域全链条的线上化、数据化和智能化,日均线上服务调用达4亿次,智能化房源近万间。自如旗下拥有自如友家、自如整租等多种租住产品,并提供智能家装、保洁等生活服务,累计服务订单超3000万。
DevSecOps安全体系建设
DevSecOps体系定义
DevSecOps体系强调“人人为安全负责、安全是大家的事”,安全团队不再是单纯兜底角色,而是建立公司人人参与的安全文化。
自如DevSecOps体系建设框架
自如的DevSecOps体系建设框架图展示了其安全落地的整体架构。
安全落地建设痛点
- 话语权低:安全是后台保障部门,业务方感知较少,领导层底线思维。
- 资源紧张:安全团队人员比低、项目数多、领域繁杂。
- 开发敏捷:DevOps开发模式,项目迭代快、周期短。
- 意识薄弱:业务方较少有信息安全风险意识。
安全落地建设解决思路
- 核心思想:自上而下、逐步左移、工具可用、培训运营。
- 基于业务视角:强调安全重要性,如业务安全风控、矩阵安全指标度量、合规风险汇报等。
- 利用有限资源:提升安全覆盖度,如工具自动化、流程线上化、信息安全BP机制等。
- 塑造安全文化:培养安全习惯性,如信息安全公众号、技术学院安全培训、专项活动等。
IAST测试工具介绍
IAST定义
IAST(交互式应用安全测试)是在应用和API中自动化识别和诊断软件漏洞的技术,利用插桩技术收集安全信息,持续监控应用中的漏洞,实时提供报警。
SAST、DAST、IAST对比分析
| 名称 |
技术原理 |
漏洞误报率 |
项目覆盖率 |
优劣势总结 |
| SAST |
源代码检测分析 |
高 |
高 |
优势:覆盖面广、白盒;劣势:误报率高、运营成本高 |
| DAST |
HTTP流量应用层扫描 |
低 |
低 |
优势:漏洞有效检出高;劣势:大量payload请求、脏数据多 |
| IAST |
被动插桩流量采集+污点跟踪 |
低 |
高 |
优势:漏洞有效检出率较高、覆盖面广、脏数据少、运营成本低 |
IAST漏洞检测原理
- 将采集到的不信任数据放入污点池。
- 污点变量作为入参流经传播节点,该节点方法的返回值也被标记为污点变量。
- 如果污点变量作为入参触达危险函数链路,则判定漏洞产生。
IAST利用功能测试用例的流量触发检测,实现质量和安全测试同时进行。
自如IAST落地实践方案
- 方案:采用轻量级agent,嵌入自如Omega项目部署发布平台CI/CD流程。
- 管理:上报漏洞信息至自如DevSecOps工作台闭环管理。
IAST甲方落地建设建议与总结
- IAST技术优势:可解决DevSecOps落地的工具困境,满足漏洞检出率高、误报率低、覆盖面广、CI/CD集成易、业务侵入性低等核心诉求。
- 技术选型:需根据公司自身情况和目标确定,如安全和业务平衡关系、微服务技术框架、内部部署工具、项目应用体量等维度。
- 推进建议:需与运维、测试、研发等部门做好沟通协调,以实际效果和数据说明不会影响运维资源、测试作业、研发部署等工作。
