安全左移|洞态IAST构建高效DevSecOps流程_devsecops iast

9月25日，由CNCF大使、开源意见领袖共同发起的，国内最大的独立第三方云原生终端用户和泛开发者社区——云原生社区，在腾讯大厦成功举办深圳站首届MeetUp。

本届MeetUp聚焦云原生，火线安全洞态产品负责人董志勇分享了“使用IAST构建高效的DevSecOps流程”，从IAST的时代需要到IAST含义，从洞态IAST的功能与实现原理到洞态IAST与DevOps的高效融合均做了详细介绍。

01 IAST的时代需要

#安全测试是应用开发的必要环节

自2016年以来，随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律相继颁布并施行，企业安全运行能力要求不断提高。

此外，网络攻击频发也引起网络界的关注。被勒索软件勒索、数据泄露、服务器被入侵等在近年来出现的网络安全问题中占据极大比例，这些都是应用本身安全性不足所导致的。

安全测试成为应用开发的必要环节。

#IAST是安全测试的最优选择

在瀑布开发与敏捷开发时代，应用迭代速度相对较慢，企业安全团队人员数量足够cover住应用开发上线的测试频率。

但随着开发流程理念的更新，DevOps逐渐出现并成为主流。DevOps在“提高企业生产效率、实现应用迭代大加速“的同时，也带来了“安全测试任务密度变大，待上线应用的数量与安全测试人员数量严重不对等”的问题。原有的安全测试手段已不合时宜，高效可靠的自动化检测成为安全团队的不二之选。