中国信通院郭雪解读《交互式应用程序安全测试工具能力要求》标准
引言
2021年7月21日,由中国信息通信研究院指导,DevSecOps敏捷安全领导者悬镜安全主办的中国首届DevSecOps敏捷安全大会(DSO 2021)在北京成功举办。大会以“安全从供应链开始”为主题,寓意安全基础决定上层建筑,在云原生环境下为软件供应链注入覆盖全流程的安全属性,从源头做风险治理。
现场逾300位权威学者、安全专家、生态伙伴、技术精英齐聚一堂,近20个议题,直击软件供应链安全复杂场景中涉及的管理、流程、技术、工具等问题,为安全产业发展提供创新源动力。
中国信通院云计算与大数据研究所云计算部副主任郭雪于现场发表了题为《交互式应用程序安全测试工具能力》的主题演讲。
演讲嘉宾简介:郭雪
中国信通院云计算与大数据研究所云计算部副主任
郭雪主任主要从事云安全、开源相关研究,目前担任中国通信标准化协会TC608(云计算标准和开源推进委员会)包括保险云、云安全、风险管理、开源治理等工作组组长。牵头编写《云计算风险管理框架》、《开源治理白皮书》等,参与可信云二十余项标准编写。
【演讲全文】
大家好,我是信通院云大所郭雪,非常荣幸能参与首届DevSecOps敏捷安全峰会。今天要与大家分享的内容是《交互式应用程序安全测试工具能力要求》标准解读(以下简称:IAST标准),即被市场认知度较高的IAST标准。
IAST标准制定背景
首先介绍相关背景。信通院为什么要制定IAST标准?其实与今天DSO大会的主题非常契合,是源于目前业内对研发安全的认知尚处于初级阶段。目前谈到的多数“安全”仍集中在应用上线之后的安全问题,针对软件研发运营全生命周期的可信安全理念还处于相对初期的阶段。
通过数据材料我们发现,存在于研发阶段的很多安全问题会产生重大影响,也据此研判出安全左移对整体安全来讲,在降低成本方面将发挥怎样的作用。调研发现,在设计、需求阶段关注安全,其成本节约会达到30倍、50倍,乃至100倍以上。所以安全左移,在设计、研发阶段关注安全,能有效节约整体成本。
以此为背景,我们发现制定一个能覆盖研发运营全流程的安全标准体系势在必行。传统的安全侧重在验证及运营阶段,我们需要做的是关注安全左移,从需求、研发阶段进行安全介入,做相应的标准化。由此,信通院在2019年针对整个标准体系,启动了第一个标准制定工作,即《可信研发运营安全能力成熟度模型》标准。
该标准的制定以研发阶段的安全为切入点,一方面以SDL的模型和理念为参考,但因为涉及到运营和下线阶段,所以比SDL生命线更长。同时,结合DevSecOps理念,但又不限于DevOps流水线,最终制定了《可信研发运营安全能力成熟度模型》。它涉及到包括要求阶段、安全需求分析阶段、设计阶段、研发阶段、验证阶段、发布阶段、运营阶段、下线阶段在内的全生命周期要求。在该标准制定过程中,许多用户侧企业提供了大力支持。
而在标准制定完成后,我们发现企业内部在落地研发运营安全的同时,需要配套一系列的自动化安全工具产品。经过梳理,得出知名度较高5大类:SAST、IAST、SCA、DAST和RASP。据此,信通院在完成成熟度标准后,即刻针对前述工具逐个制定相关标准。目前,针对SAST、IAST、SCA工具的标准已初步形成。
在整个安全工具系列标准当中,IAST处于重要位置,对此信通院在标准当中也明确给出交互式应用程序安全测试工具的基本范畴,即通过插装技术、基于请求和运行时上下文综合分析,高效、准确地识别安全缺陷和漏洞,确定安全缺陷及漏洞所在的位置。
相较于发展较早的SAST和DAST工具,IAST工具有三大优势。第一,IAST工具基于请求及运行时上下文信息综合分析,误报率较低。第二,IAST工具结果反馈及时,随着业务测试,可及时反馈安全测试相关数据,提升研发效率。第三,相比于DAST工具,基于被动插装技术进行的IAST测试对于业务场景侵入性低,不会产生脏数据。
2020年,信通院启动IAST工具标准制定工作,按照“三稿三审”的统一要求,进行中国通信标准化协会行标立项,在此与大家分享的就是我们已经立项成功的IAST标准细节。在标准制定过程中,特别感谢悬镜安全、腾讯、华为等诸多安全厂商、云厂商的安全专家给与的支持。
IAST标准要求细节解读
IAST标准中提出九大方面要求,分别是检测分析能力、灵活性能力要求、分析辅助能力要求、开发流程嵌入能力要求、扩展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服务支持能力要求。
其中包含三大核心能力。第一,工具功能指标。对此IAST标准中列有34项指标。第二,工具性能指标。在统一硬件环境、统一并发场景下,以统一测试例对各个工具性能进行测试。第三,漏报率和误报率数据。下面将具体展开来说。
检测分析能力是工具的基础要求。IAST工具应符合的标准要求包括:第一,考察工具所支持的编程语言。包括对主流编程语言和常用编程语言的覆盖程度,对于标准中列出的语言,都会考察相应的支持情况。第二,对中间件、库及开发框架类型的支持。包括对主流中间件、库、开发框架的支持能力。第三,支持的检测方式。无论被动检测方式或主动检测方式,工具应有明确的检测方式。第四,有明确的安全漏洞风险类型支持。工具应对包括注入类、敏感信息泄露、安全配置错误等在内的常见风险类型做支持。第五,对检测分析类型的要求。包括支持HTTP/HTTPS协议、支持微服务分布式应用场景等。
IAST工具性能、漏报率、误报率决定了工具的竞争力,由此引出三大重点要求。第一,检测分析性能要求;第二,漏报率要求;第三,误报率要求。这是搭配检测分析能力提出的基本要求。
考核整体灵活性能力要求适配用户常见需求。第一,检测分析配置能力要求。工具应明确配置漏洞类型、漏洞级别,包括针对请求、参数、函数的黑白名单设置。第二,使用模式。包括图形用户界面的方式、接口调用模式,以及DevOps插件模式。第三,告警能力要求。工具要具备自动化进行高危漏洞告警的方式,同时可以自定义设置告警机制。第四,对网络环境调试。包括自定义HOST/DNS,上下游代理配置及网络测试等。第五,性能熔断配置。工具应当支持设置插桩的熔断阈值,在超过此阈值时,触发熔断机制。对灵活性的要求,核心在于满足用户常见需求,做灵活配置。
分析辅助能力要求,帮助研发人员发现整个代码的安全缺陷。第一,支持缺陷快速定位。第二,支持任务的集中管理与展示。第三,支持缺陷数据的多维度统计及展示。第四,支持结果的对比分析。第五,提供缺陷的修复指导。第六,支持报表展示要求。第七,支持权限控制和审计能力要求。核心要求在于,IAST工具应具有辅助能力,帮助团队更快地做相关定位。
开发流程嵌入适配当前开发环境。一方面,集成CI/CD系统,支持Jenkins、Travis CI、GitLab CI流程。同时,能集成Jira等主流缺陷跟踪系统。因此,IAST工具需考察开发流程嵌入适配当前开发环境。
具备扩展性能力,提升工具开放性。扩展能力要求工具支持核心分析引擎功能接口化,可通过开放的API接口供第三方调用,满足用户在使用过程中将多个工具做集成的需求,并能提供完备的API文档。同时,工具需能与分析平台进行集成,满足用户漏洞规则自定义要求,并支持二次开发。
兼容性是工具必备要求,满足业界主流系统。兼容性是IAST标准对工具提出的一个必备要求,包括对业界主流操作系统Windows、Linux和MacOS的兼容,以及对主流浏览器Chrome、Firefox、IE等的兼容。针对该项要求,信通院在测试过程中也逐一做了相关确认。
部署能力决定工具使用环境。由于目前多数使用环境在云上,部署模式应支持公有云、私有云,及本地单机模式。在工具架构方面,工具应具备多任务处理能力,多引擎集群部署能力,包括硬件资源利用能力。对于安装支持,工具应支持自动化部署方式,并配有工具安装指引,同时有相关技术人员能提供本地部署支持。
安全性能力保障工具安全基线。尽管IAST本身既是一款安全工具,但其自身安全性也在标准的考量范畴内。包括考量其传输安全、工具自身安全、访问控制和身份鉴别。避免用户使用过程中因工具自身产生安全问题。
服务支持能力,提升用户使用体验。在IAST使用过程中将涉及到本地部署,因此工具厂商的售前与售后服务支持也被列入该标准的考量范畴。
IAST标准中共设有34类基础能力指标考察项。同时,信通院也选了三个测试例,通过一个Owasp测试例、两个Java测试例,来考量IAST工具的漏报率、误报率,以及性能情况。
首批IAST工具的测试
标准制定完之后,信通院启动了首批IAST工具的测试工作。非常感谢悬镜安全对院里首批测试工作的支持,并且在测试过程中通过了标准符合性的确认。
在测试过程中,漏报率、误报率是关键点,通过三个测试例,并根据测试结果进行人工比对,最终提出了对IAST的漏报率、误报率的要求。评估要求IAST工具的整体漏报率与误报率均应低于10%。同时,在统一并发场景下,性能上要求CPU利用率应低于5%。
在首批测试过程中获得了一些发现。首先,测试的多款工具在功能上差异较小,各工具厂商都会在漏报率和误报率方面追求极致,目前参与测试的多款工具的漏报率与误报率均低于10%,性能上CPU的利用率均低于5%。
然而,也发现多数现有IAST工具仍有更多的优化空间。第一,IAST工具所支持语言的覆盖率。受限于工具本身的原理要求,目前工具对语言的覆盖率较为有限,多数工具不能做到对主流语言的全覆盖。第二,漏洞展示存在差异。例如在测试过程中使用相同的测试例,但由于各工具厂商对漏洞类型的归类不同,对漏洞的定义和分类均存在一定差别,导致这个过程需要做较大量的人工比对工作。第三,针对SQL注入、XML实体注入的漏洞识别率,各款工具差异较小,但对于配置缺陷、弱密码的检测结果,各工具之间则有较大差异。
IAST发展趋势展望
通过此次IAST标准的制定,信通院对其发展趋势做出三点展望。第一,软件供应链安全成为业界焦点,IAST工具实现组件安全漏洞检测功能将成为主流趋势。第二,IAST工具支持的语言范围有限,可以配合流量代理等手段进行安全检测,这将成为主要使用场景。第三,IAST工具能结合SCA工具,针对软件供应链进行统一安全及开源治理,这将成为发展方向之一。而其中,以后两点感受尤为明显,由此判断IAST未来将与其他工具进行整合使用。
