针对公司系统庞杂但是安全人员缺乏、业务迭代速度快、安全工作易被边缘化的困境， 默安科技提供了完善的安全解决方案。 默安科技雳鉴 IAST 系统是默安科技自主知识产权的安全产品，雳鉴 IAST 使用基于请求和基于代码数据流两种技术的融合架构，采用被 Gartner 评为十大信息安全技术之一的IAST 技术，融合了 SAST 和 DAST 的优点，能够做到检出率极高，误报率极低，同时可定位到 API 接口和代码片段，在测试阶段无缝集成，既可高准确性的检测应用自身安全风险，也可检测第三方组件及其漏洞，实时告警响应，对安全漏洞的准确定位，为客户系统上线前做到强有力的安全保障。

雳鉴 IAST 是一款在业务上线前应用的安全测试工具。用户只需在雳鉴 IAST 的管理界面配置需要检测的项目，雳鉴 IAST 会通过多种流量收集方式，将请求流量数据或代码数据流信息复制到存储中心，检测集群自动全面的检测存储中心存储的请求流量数据，并快速生成漏洞报表，提供专业修复方案。雳鉴主要包括项目管理模块、漏洞管理模块、漏洞检测模块、流量及插桩收集模块、软件成分分析模块、系统管理模块，第三方插件等模块组成。

默安科技雳鉴 IAST 专注为企业或组织机构提供软件安全开发流程中测试阶段的安全产品解决方案，采用代码数据流与请求结合进行漏洞检测的模式，融合 SAST 类产品和 DAST 类产品的优势，形成独特的雳鉴 IAST 产品方案，覆盖全场景，漏洞 0 误报，代码级漏洞详情，风险生命周期闭环管理，帮助企业建立自主可控的安全测试解决方案。

默安科技雳鉴系统通过项目经理建立测试项目，不同的模块在雳鉴系统功能模块指定不同的测试人员，测试人员通过建立相应的任务进行漏洞测试，每个测试人员的漏洞测试工作可以做到“定岗定责”。 同时，安全测试工作可以和应用系统的功能测试工作同步进行，多种流量收集方式，完全在不影响功能测试的情况下完成安全测试，通过弹性私有云部署模式建立一站式服务解决方案，对项目安全进行高度可视化、可持续化管理，对漏洞建立从发现，到确认、推进修复，到漏洞复检、确认修复的闭环流程，建立起一套从开发到运营的安全测试管理流程，使安全成为整个 IT 团队（包括开发、运维及安全团队）每个人的责任，安全贯穿从开发到运营整个业务生命周期的各个环节，让人人都能参与安全测试。

传统的漏洞检测工作需要专业的安全人员执行，而默安科技雳鉴系统利用交互式的方式协助我们的非安全人员做系统的漏洞测试，不仅解决传统扫描方式当中对诸多场景的局限性，而且让每一个参与测试人员都可以成为安全专家，解决安全人手短缺的问题。

交互式扫描技术是一种实时动态交互的漏洞检测技术。在最近的一次 OWASP（国际应用安全组织）的安全测评中，IAST 安全测试以满分排名第一，而传统的 DAST 产品表现完全不能令人满意。

默安科技雳鉴交互式应用安全测试系统使用基于请求和基于插桩两种交互式技术的融合架构，采用被 Gartner 评为十大信息安全技术之一的 IAST 技术，融合了 SAST 和 DAST 的优点，可对被测项目进行代码数据流、代码位置、代码内容和请求响应获取，基于以上信息进行漏洞检测，可达到几乎 0 误报，同时可测试逻辑漏洞、通用漏洞、第三方组件风险， 无需重放请求，无脏数据，可覆盖加密、验证码等一次性接口，真正做到场景全覆盖，漏洞信息不仅仅可展示请求与相应，代码示例与修复建议，还可以直接定位到代码位置、代码内容、代码数据流。

现有的 Web 应用漏洞扫描工具只能对非业务逻辑如 SQL 注入等常见漏洞进行检测，业务逻辑漏洞只能靠人工检测，准确率较高但是效率极其低下。 雳鉴逻辑漏洞检测引擎支持检测水平越权漏洞、垂直越权漏洞、登录接口爆破、验证码相关及用户枚举漏洞，从黑客视角对常见的业务场景进行威胁建模，针对这些场景可能会出现的安全问题进行定制自动扫描，其中水平越权漏洞可覆盖越权遍历用户订单、越权遍历用户资料、越权绑定邮箱、越权绑定手机等常见业务问题，验证码相关漏洞可覆盖登录不存在验证码、重复发送手机验证码、验证码优先级错误等常见业务问题。雳鉴逻辑漏洞检测引擎根据代理模块收集到不同账户角色的访问流量，对这些访问流量进行权限分级，覆盖度分析，同时对访问流量的接口进行提取，然后对业务接口使用不同权限的凭据进行交叉访问，能够快速准确的发现业务逻辑漏洞。

雳鉴 IAST 支持对项目中的第三方库进行检测，提供对第三方库的管理，包括第三方库的风险等级、漏洞数、开源许可证、首次发现时间等详细信息，同时提供第三方库漏洞的版本风险，安全漏洞风险，开源许可证风险，帮助用户迅速定位存在安全风险的软件成分和项目，第三方库图表分析包括第三方库风险等级分布、第三方库使用情况、第三方库版本状态，支持第三方库的分享及报告导出。管理者可以在雳鉴 IAST 云端管理平台上对第三方库进行可视化管理，把控项目使用第三方库的整体使用情况和相应的安全问题。

DevOps 流程更加强调自动化与平台化，要求与 Jenkins 等 CI/CD 平台集成，可通过接口 API 调用全自动化发起扫描与反馈结果，目前 DevOps 流程中，测试阶段往往采用自动化测试的方式，通过 CI/CD 平台自动触发功能测试脚本。 雳鉴提供 Jenkins 插件可与 CI/CD 平台集成、通过 API 全自动化完成功能，又可通过插桩收集模块和流量收集模块，与 DevOps 中的自动化测试阶段融合，收集自动化验证脚本产生的流量和代码数据流，在 Jenkins 中进行一些简单的配置，即可让您在 Jenkins 中进行安全测试，并在 Jenkins 页面查看结果。在 DevOps 流程中加入安全测试，形成 DevSecOps 解决方案的客户需求。

雳鉴 IAST 遵循 GDPR、PCI-DSS 国际标准，支持对应用中存在的不合规的个人隐私数据处理行为进行检测，不仅可以解决标准中规定的身份证号、密码等 10 种个人隐私信息明文保存至数据库、日志文件或响应时产生的隐私数据泄露问题，还可以根据用户实际使用场景灵活配置检测项，帮助用户按需检测，并迅速定位存在隐私泄露风险的漏洞地址和代码位置。

全面性体现在三个方面，一是通过代理、爬虫、VPN 等多种流量收集方式能够确保接口获取的全面性和数据的准确性，极大的降低漏洞的漏报率；二是通过插桩收集检测方式达到近乎 0 误报的效果，并且支持加密、验证码等场景，真正做到场景全覆盖；三是除了对系统漏洞进行检测外，还支持逻辑漏洞（如水平越权漏洞）的检测。能够极大的提高系统的安全质量。

雳鉴 IAST 可以帮助用户梳理项目中的第三方组件使用情况，使用频率，使用广度进行可视化展示，针对第三方组件的风险，分为是否最新版本、安全漏洞风险、开源许可证风险三类，帮助用户完全掌握第三方组件的安全风险，评估对第三方组件的修复方案。从而最终解决软件成分风险产生的安全问题对企业带来的收益及名誉损失。

雳鉴 IAST 流量收集及插桩收集方式均不会对测试人员的测试工作产生任何影响，测试人员只需要进行正常功能测试的同时系统会自动进行安全性测试，真正做到无感知。

通过灰盒+渗透测试服务相结合的方式，可发现系统中各风险级别的安全漏洞，深度挖掘系统中存在的漏洞，评估系统安全风险，对安全性进行保障。

雳鉴系统全流程、零门槛实现研发能力的安全赋能及升级，通过威胁建模、SAST 测试、IAST 测试到运营全流程的嵌入式解决方案，在不增加用户教育成本、改变工作流程的前提下，实现系统开发全流程的安全能力导入。落实了 devsecops 中“安全是整个 IT 团队（包括开发、运维及安全团队）每个人的责任，需要贯穿从开发到运营整个业务生命周期的每一个环节”的核心理念。

背景介绍：该上市公司是一家专注于健康饮食电器研发、生产和销售的物联网企业。公司组织架构 如下：公司技术架构比较简单，含研发部门、网络部门，研发部门主要是面向公司小家电的嵌入式、智能化软件开发工作。网络部门含安全团队，安全团队负责公司内部的整体网络安全建设项目，包括开发安全这块。 2018 年 5 月，公司发起项目需求，要将研发过程的安全规范做起来。我们了解到在这么大的一家上市企业里，研发团队在测试开发的安全检查中是没有任何规范的技术手段和流程去保证项目的安全性的，包括渗透测试这样的基础服务都没有做过。

随着时代的变革，小家电已经成为物联网时代的家电独角兽，成为人们生活中的一部分，小家电也越来越智能。该公司作为国内主流品牌，业务量与日俱增。小家电的安全工作并不像企业网络、门户网站等关键基础设施的如此大，更多的是在安全开发过程中去解决，就能规避绝大多数的安全隐患。因此软件开发安全作为物联网企业最重要环节之一，也是开发过程的安全规范中重点工作。

研发团队在业务自查中存在规范的安全测试及验证流程，但仅靠安全人员的参与在落地中存在一定的困难。需要一套流程化的平台帮助研发去规范安全测试环境，提高安全测试的效率，减轻研发和安全团队的工作压力。

安全部门更希望通过一套机制能在开发过程中查出安全漏洞和一些安全问题，杜绝业务带病上线。之前没有任何流程和工具来提供有效的保证。