技術簡介
SecZoneVulHunter(以下簡稱VulHunter)是國內首款基於“互動式套用安全測試(InteractiveApplicationSecurityTesting,以下簡稱IAST)”技術的全新一代“灰盒”代碼審計、安全測試和第三方軟體檢測產品,由國內領先的軟體安全開發生命周期(S-SDLC)解決方案提供商SecZone自主研發,擁有自主智慧財產權。IAST是近年來興起的一項新技術,被Gartner公司列為信息安全領域的Top10技術之一。
VulHunter融合了SAST和DAST技術的優點,無需源碼,支持對位元組碼的檢測。VulHunter極大的提高了安全測試的效率和準確率,良好的適用於敏捷開發和DevOps,可以在軟體的開發和測試階段無縫集成現有開發流程,讓開發人員和測試人員在執行功能測試的同時,無感知的完成安全測試,解決了現有套用安全測試技術面臨的挑戰。
產品功能
1)常見安全弱點檢測
VulHunter支持近50種安全弱點的檢測,能對應用程式執行覆蓋WASPTop10和CWE/SANSTop25所包含常見安全弱點的檢測。
2)第三方軟體信息檢測
VulHunter支持對應用程式依賴的第三方軟體信息的檢測,為開發團隊準確識別和記錄所依賴第三方軟體的完整信息,幫助開發團隊有效管理第三方軟體的使用。檢測的第三方軟體信息包括第三方軟體的版本信息、發布時間、最新版本信息、最新版本的發布時間、當前版本包含的CVE公開漏洞信息等
3)第三方軟體漏洞檢測
VulHunter支持對應用程式依賴第三方軟體的安全檢測,能識別第三方軟體當前版本中包含的CVE公開漏洞。
4)提供完整的安全弱點信息
VulHunter可提供完整的安全弱點信息,包括安全弱點的描述、風險、引入點、請求信息、數據流和修複方案
產品優勢
1)無縫集成開發和測試階段,“零成本”完成安全測試
VulHunter適用於軟體產品開發和測試階段,可由開發工程師和測試工程師在執行功能測試的同時,無感知的“零成本”完成安全測試。整個過程無需安全專家介入,無需額外安全測試時間投入,不會對現有開發流程造成任何影響,符合敏捷開發和DevOps模式下軟體產品快速疊代、快速交付的要求。
2)檢測準確率高
VulHunter能獲得應用程式運行時的各類準確信息,誤報率極低。
3)測試覆蓋度高,受功能測試覆蓋度保障
VulHunter的安全測試受功能測試驅動,避免了類似於DAST檢測技術所受到套用本身的限制,只要功能測試的覆蓋度能夠得到保證,安全測試的覆蓋度就能得到保證,漏報率低。
4)實時檢測,檢測速度和應用程式複雜度無關
VulHunter在完成應用程式功能測試的同時即可以實時完成安全測試,且不會受軟體複雜度的影響,適用於各種複雜度的軟體產品。
5)支持第三方軟體信息檢測
VulHunter不但可以檢測應用程式本身的安全弱點,還可以檢測應用程式中依賴的第三方軟體的版本信息和包含的公開漏洞。
6)無需源碼,支持對位元組碼進行檢測
VulHunter所採用的檢測技術能夠實現對位元組碼的檢測,而無需源碼。
7)支持較多的安全弱點類型檢測
VulHunter可獲取的應用程式信息類型豐富,因此可覆蓋檢測所有DAST和SAST所能檢測的安全弱點類型。
8)支持企業級的多項目並發檢測
VulHunterAgent天然的支持分散式檢測,使客戶可同時對上百個應用程式執行安全檢測。
9)完整的安全弱點信息
由於VulHunter可獲取更多的應用程式信息,因此發現的安全弱點既可定位到代碼行,還可以得到完整的請求和回響信息,完整的數據流和堆疊信息,便於定位、修復和驗證安全弱點。
10)部署和使用非常簡單
VulHunter為滿足不同的業務需求而提供兩種不同的部署模式,且僅需部署Agent即可執行安全檢測任務,部署和使用非常簡單。
11)企業級的產品安全性
·VulHunter對所發現的所有安全弱點信息都加密存儲和加密傳輸;
·細粒度的許可權控制;
·所有關鍵操作均有記錄;
·Agent支持網路代理;
·VulHunterServer支持本地部署。