关联

每种核心技术（IAST、DAST 和 SAST）都有优点和弱点。借助“关联”，我们能够利用每种技术的优点，同时利用其他技术的优点来克服这种技术的弱点。

“关联”将增强 AST 功能、改进优先级划分流程，并减少补救时间和工作量。

使用 IAST 和 SAST 详细信息来丰富 DAST 问题。
根据 IAST 和 DAST 结果的准确性来划分 SAST 结果的优先级。
根据 IAST 和 DAST 问题的状态更新来验证 SAST 修订。
通过将问题归类在一起来减少漏洞和修复任务的数量。

注：

具有 IAST 订阅之后，每当发现任何相关的 IAST、DAST 或 SAST 问题时，都会自动更新关联。现有关联组会自动更新新问题，并且会根据需要创建新组。不需要用户操作。

它的工作方式

“关联”基于我们的 IAST 解决方案。IAST 可以访问运行时的应用（例如 DAST），并且能够查看源代码（例如 SAST）。我们的自动关联算法可将 IAST 问题与 DAST 和 SAST 问题相匹配。它从每个问题中抽取数据，然后使用各种启发式方法来标识关联。这会将修复流程的优化提升到新的水平。添加 IAST 和关联可以减少要解决的问题和/或漏洞的总数。

使用关联

要使用关联，您需要具有活动 IAST 会话。 ASoC 将自动创建关联组，并在所有问题下的关联组选项卡中显示这些关联组。 ASoC 随着将新问题添加到应用程序中，将不断更新和创建新组。

注：关联只能应用于在将 IAST 添加到应用程序之后完成的 DAST 和 SAST 扫描的结果。要将关联应用于先前运行的扫描，请重新扫描。重新扫描时发现的问题将作为相关问题添加到关联组中。

具有 IAST 订阅之后，每当发现任何相关的 IAST、DAST 或 SAST 问题时，都会自动更新关联。现有关联组会自动更新新问题，并且会根据需要创建新组。不需要用户操作。

示例

仪表板

确定具有关联后，会在应用程序仪表板的问题图表上显示关联。

“关联组”页面

单击关联组链接可打开应用程序的关联页面，该页面会列出其包含的关联组。

组中的问题

单击组可查看其中包含的问题。

问题详细信息

特定问题的问题窗格指示它归入相关部分中的关联和/或修订组的时间：

利用关联

众所周知，代码重用是软件开发中的一项最佳实践。但是，这也意味着单个薄弱环节可以在应用程序中造成多个安全漏洞。下图说明了弱清理器是如何造成多个 SQL 注入漏洞的。由于 REST API 1 与 RESP API 2 具有不同的路由/源，因此它们的漏洞在扫描结果中显得无关。

关联可将应通过单个任务修复的各个漏洞聚合在一起。

请注意，在以下示例中，关联组包括通过不同技术（IAST 和 DAST）发现的问题、属于不同问题类型的问题以及具有不同严重性的问题。

借助关联，原本不会被视为相关的各种问题现在可以通过单次补救工作来解决。