关联
AppScan 可以分析 IAST、DAST 和 SAST 发现的问题,以识别代码中的常见薄弱环节(关联),从而确定可以通过一次或统一补救工作解决多个漏洞的位置。
每种核心技术(IAST、DAST 和 SAST)都有优点和弱点。借助“关联”,我们能够利用每种技术的优点,同时利用其他技术的优点来克服这种技术的弱点。
- 使用 IAST 和 SAST 详细信息来丰富 DAST 问题。
- 根据 IAST 和 DAST 结果的准确性来划分 SAST 结果的优先级。
- 根据 IAST 和 DAST 问题的状态更新来验证 SAST 修订。
- 通过将问题归类在一起来减少漏洞和修复任务的数量。
具有 IAST 订阅之后,每当发现任何相关的 IAST、DAST 或 SAST 问题时,都会自动更新关联。现有关联组会自动更新新问题,并且会根据需要创建新组。不需要用户操作。
它的工作方式
关联基于 IAST。IAST 可以访问运行时的应用(例如 DAST),并且能够查看源代码(例如 SAST)。我们的自动关联算法可将 IAST 问题与 DAST 和 SAST 问题相匹配。它从每个问题中抽取数据,然后使用各种启发式方法来标识关联。这会将修复流程的优化提升到新的水平。添加 IAST 和关联可以减少要解决的问题和/或漏洞的总数。
使用关联
具有 IAST 订阅之后,每当发现任何相关的 IAST、DAST 或 SAST 问题时,都会自动更新关联。现有关联组会自动更新新问题,并且会根据需要创建新组。不需要用户操作。
示例
仪表板
“关联组”页面
组中的问题
问题详细信息
利用关联
代码重用是软件开发中的最佳实践,但单个薄弱环节可能会在应用程序中造成多个安全漏洞。下图说明了弱清理器是如何造成多个 SQL 注入漏洞的。由于 REST API 1 与 RESP API 2 具有不同的路由/源,因此它们的漏洞在扫描结果中显得无关。
关联可将应通过单个任务修复的各个漏洞聚合。
在此示例中,关联组包括通过不同技术(IAST 和 DAST)发现的问题、属于不同问题类型的问题以及具有不同严重性的问题。这些原本不会被视为相关的各种问题可以通过单次补救工作来解决。