洞态在某互联⽹⾦融科技企业的最佳落地实践

洞态距正式开源已有10个月，用户已超过200家企业，覆盖互联网、汽车、金融等多个重要行业。

洞态是如何在互联⽹⾦融科技企业落地实践的呢？我们本期采访了安全架构师 PK，听听他是怎么说的吧。

视频链接：https://www.bilibili.com/video/BV1LS4y1p7AX?spm_id_from=333.999.0.0

个人介绍

⼤家好，我是pk，⽬前在⼀家互联⽹⾦融科技企业，负责公司业务安全和数据安全。

和洞态的结缘

上线前检测的优势，⽬前正在使⽤哪些安全检测⼯具，以及优劣势？

应⽤安全作为业务安全的核⼼，是我们⽬前⼀项重点⼯作。

在上线前设⽴安全卡点可以“短平快”地发现⼤部分安全⻛险，也是安全检测的最佳落地实践。

我司已经具备相对完善的DevOps流⽔线，也采⽤了传统安全检测⼿段，⽐如编码阶段⽩盒（SAST）+测试阶段⿊盒（DAST）。

但传统检测⼿段的通病⼀样⽆法避免，⽐如误报率过⾼、⽆法精准定位并复现等等，严重影响⽇常安全运营效率。

为什么选择洞态？有哪些独有的优势？

因为机缘巧合，在⽕线成⽴初期就第⼀时间接触到了洞态IAST。

相较于传统的SAST+DAST安全检测，洞态IAST除了可以明显提⾼漏洞准确度，还具备可快速融⼊公司DevOps流⽔线的优势。

对于业务同学使⽤体验较好，不会产⽣明显割裂感，达成了“业务与安全并进”的安全⽬标。

洞态的落地实践

洞态在贵公司已经应用到哪个阶段？

在技术选型初期我们已经充分考虑到业务使⽤的便利性，所以我们已经将洞态agent集成到了CI/CD构建流程中，应⽤发布时会⾃动集成洞态agent，基本实现了安全接⼊业务⽆感知，所以推⼴初期还算顺利。

⽬前仍处于推⼴期，已经覆盖⼤约50%业务。

在使⽤过程中，洞态IAST帮助我们及时检测到了多少开发漏洞？

我们的检测场景分为传统web漏洞 + 敏感数据检测 2个⽅向。

从实际效果来看，2个⽉的时间收获了2000+敏感数据传输，60+⾼危web漏洞，200+⾼危开源组件漏洞。

（此处与公司业务形态强相关，互⾦⾏业⾃带较强的个⼈信息属性）

洞态IAST的哪个功能实⽤性最⾼，与公司的实际业务场景更匹配

洞态IAST⾼⾃由度的⾃定义规则⼗分强⼤，从污点源函数、污点传播函数，到过滤函数、危险函数，甚⾄header⽩名单，能⾃由组合以满⾜我司“千奇百怪”的应⽤场景。

对洞态社区的贡献or想法

基于公司业务实现需要，在开发过程中，对洞态做了哪些升级和改造？

在使⽤过程中，也遇到过⼀些⼩问题，如发现response⻓度参数bug、结果数据⽆法导出等。

洞态IAST拥有良好的开源社区⽣态，bug和需求只要合理都会得到反馈，帮忙解决了很多问题。

个⼈⾃身也会⼒所能及地解答社区中的使⽤问题，和⼤家共同探讨学习成⻓很快。

对洞态的期待

根据公司实际应用场景，你最期待洞态未来会开发的新功能是什么？

希望洞态IAST未来能在web平台的管理功能上继续优化，如多维度统计分析、URL⽩名单等。

对于⼤多数甲⽅安全团队来说，安全运营效率提升需要⻓期的统计分析数据⽀持，如果能做到可以直接⽤平台数据做安全考核指标那就更好啦！

相信你看完本期采访对洞态有了进一步了解

洞态商业版本在 2022年05月18日 发布

部分功能仅商业版可用，开源版与商业版差异，请参阅以下附件：

申请洞态商业版产品试用。领取白皮书资料

请填写表单免费申请：https://wenjuan.feishu.cn/m?t=sEKos4DXXCCi-m2hs

关于洞态：

“洞态” 是全球首个开源 IAST 产品，专注于 DevSecOps，具备高检出率、低误报率、0脏数据的特点，帮助企业发现并解决应用上线前的安全风险。

关于火线安全：

火线安全主要运营火线安全平台、火线Zone云安全社区、洞态 、火线安全云。通过自主研发的自动化测试工具和海量的白帽安全专家，助力企业解决应用生命全周期的安全风险。

火线安全平台：https://www.huoxian.cn/

火线Zone社区：https://zone.huoxian.cn/?sort=newest