关联

AppScan 可以分析 IAST、DAST 和 SAST 发现的问题,以识别代码中的常见薄弱环节(关联),从而确定可以通过一次或统一补救工作解决多个漏洞的位置。

每种核心技术(IAST、DAST 和 SAST)都有优点和弱点。借助“关联”,我们能够利用每种技术的优点,同时利用其他技术的优点来克服这种技术的弱点。

“关联”将增强 AST 功能、改进优先级划分流程,并减少补救时间和工作量。
  • 使用 IAST 和 SAST 详细信息来丰富 DAST 问题。
  • 根据 IAST 和 DAST 结果的准确性来划分 SAST 结果的优先级。
  • 根据 IAST 和 DAST 问题的状态更新来验证 SAST 修订。
  • 通过将问题归类在一起来减少漏洞和修复任务的数量。
注:

具有 IAST 订阅之后,每当发现任何相关的 IAST、DAST 或 SAST 问题时,都会自动更新关联。现有关联组会自动更新新问题,并且会根据需要创建新组。不需要用户操作。

它的工作方式

关联基于 IAST。IAST 可以访问运行时的应用(例如 DAST),并且能够查看源代码(例如 SAST)。我们的自动关联算法可将 IAST 问题与 DAST 和 SAST 问题相匹配。它从每个问题中抽取数据,然后使用各种启发式方法来标识关联。这会将修复流程的优化提升到新的水平。添加 IAST 和关联可以减少要解决的问题和/或漏洞的总数。

使用关联

要使用关联,您需要具有活动 IAST 会话。 ASoC 将自动创建关联组,并在所有问题下的关联组选项卡中显示这些关联组。 ASoC 随着将新问题添加到应用程序中,将不断更新和创建新组。
注: 关联只能应用于在将 IAST 添加到应用程序之后完成的 DAST 和 SAST 扫描的结果。要将关联应用于先前运行的扫描,请重新扫描。重新扫描时发现的问题将作为相关问题添加到关联组中。

具有 IAST 订阅之后,每当发现任何相关的 IAST、DAST 或 SAST 问题时,都会自动更新关联。现有关联组会自动更新新问题,并且会根据需要创建新组。不需要用户操作。

示例

仪表板

确定具有关联后,会在应用程序仪表板的问题图表上显示关联。

“关联组”页面

单击关联组链接可打开应用程序的关联页面,该页面会列出其包含的关联组。

组中的问题

单击组可查看其中包含的问题。

问题详细信息

特定问题的问题窗格指示它归入相关部分中的关联和/或修订组的时间:

利用关联

代码重用是软件开发中的最佳实践,但单个薄弱环节可能会在应用程序中造成多个安全漏洞。下图说明了弱清理器是如何造成多个 SQL 注入漏洞的。由于 REST API 1 与 RESP API 2 具有不同的路由/源,因此它们的漏洞在扫描结果中显得无关。

关联可将应通过单个任务修复的各个漏洞聚合。

在此示例中,关联组包括通过不同技术(IAST 和 DAST)发现的问题、属于不同问题类型的问题以及具有不同严重性的问题。这些原本不会被视为相关的各种问题可以通过单次补救工作来解决。