關聯性
AppScan 會分析 IAST、DAST 和 SAST 找到的問題,以識別程式碼(或相關性)的一般弱點連結,這些漏洞可透過單一或合併的補救程序解決。
每一項核心技術(IAST、DAST 和 SAST)都各有優劣。相關性讓我們可以利用每項技術的優勢,並透過其他技術的優勢彌補它的弱勢。
- 利用 IAST 和 SAST 詳細資料來強化 DAST 問題。
- 利用 IAST 和 DAST 結果的精確度來設定 SAST 搜尋的優先順序。
- 從 IAST 和 DAST 問題的狀態更新驗證 SAST 修正程式。
- 分類問題以減少漏洞和補救作業的數量。
一旦您具有 IAST 訂閱,只要找到任何相關的 IAST、DAST 或 SAST 問題,系統就會自動更新相關性。現有的相關性會自動依據新問題更新,並視需要建立新的群組。無須使用者動作。
如何運作
相關性是以我們的 IAST 解決方案為基礎。IAST 可存取執行時期的應用程式(例如 DAST),而且能夠查看原始碼(例如 SAST)。我們的自動相關性演算法符合具有 DAST 和 SAST 問題的 IAST 問題。該演算法會從每個問題擷取資料,並使用各種探索性來識別相關性。這將進一步最佳化補救程序。將 IAST 和相關性新增至您的社群,可減少要處理的問題和/或漏洞總量。
使用相關性
一旦您具有 IAST 訂閱,只要找到任何相關的 IAST、DAST 或 SAST 問題,系統就會自動更新相關性。現有的相關性會自動依據新問題更新,並視需要建立新的群組。無須使用者動作。
範例(X)
儀表板
相關性群組頁面
群組中的問題
問題詳細資料
善用相關性
重複使用程式碼是開發軟體的最佳作法。然而,這也表示單一弱點連結可能會在應用程式中產生多個安全漏洞。下圖說明低強度消毒器如何造成多個 SQL 注入漏洞。由於 REST API 1 具有與 RESP API 2 不同的路徑/來源,兩者的漏洞在掃描結果中可能看起來毫無關聯。
相關性會將需要補救為單一作業的漏洞匯聚在一起。
請注意,在下列範例中,相關性群組包括不同技術 (IAST 和 DAST)、 不同問題類型及不同嚴重性所發現的問題。
利用相關性,現在可以透過單一補救工作來解決原本被視為未連接的不同問題。