IAST百科全书第12期：如何选择一个适合自己的IAST？

hello大家好，欢迎来到新一期IAST百科全书，这期和大家一起探讨一下，怎么选一个最适合自己的IAST呢？

在评估IAST解决方案的时候，每家企业环境不同，需要考虑的内容也相应的会有一些区别。

首先需要考虑的就是不同的团队之间的协作性。

IAST是一个典型的安全部门选型采购、研发部门使用的产品，日常使用涉及跨部门沟通，如果工具不能很好地支撑跨部门沟通，则会面临极高的沟通协作成本。

安全部门

在整个组织的应用和API组件中，IAST是一个主要的漏洞发现者。如果应用得当，IAST能够帮助开发团队在早期消除大多数漏洞，从而减少安全部门的介入。因此，安全部门在漏洞管理中扮演着重要的角色。

开发团队

开发团队对于保证应用和API没有漏洞负有直接责任。然而，安全工具经常会给开发团队带来额外的困扰和工作量，这可能会导致他们抗拒IAST的介入。

因此，要确保开发团队理解IAST的优点，并得到他们的支持。这可以通过培训来实现，让开发团队了解IAST的工作原理、IAST如何帮助他们更快地修复漏洞，并强调IAST可以帮助他们避免在生产环境中出现漏洞。

管理团队

推动IAST落地实践的过程中，也需要获得管理团队的认可，IAST需要有能力让管理团队也第一时间感知到其产生的价值。

在技术层面上，需要考虑的事情相对就更具体了：

语言和框架

不同的IAST支持不同的开发语言和技术框架，因此你要保证IAST支持你的应用和API正在使用的语言和框架。

精确度

你可以用一个包含一系列真实漏洞的应用，来测试IAST的漏洞检测准确度。我们重点需要关注IAST的检出率、误报率，一般建议可以用OWASP Benchmark来做测试。

可扩展性

考虑你的应用程序组合的规模，包括API、内部应用程序和产品在内。IAST能否覆盖对所有这些应用程序的持续分析？需要多少人员才能实现这种保障水平？

规则集覆盖

IAST的规则集是否能涵盖你最关心的攻击类型，包括常见的漏洞类别以及CVE漏洞。

可见性

IAST有它自己的界面？IAST可以输出什么样的漏洞报告？是否提供IDE和CI/CD插件？

安装

大多数IAST产品都很容易安装，不需要更改流程。安装是否可以自动化？是否可以将IAST添加到容器和映像中，以便在新应用程序上线时自动部署？

配置

IAST需要复杂的配置才能进行准确的分析吗？可以轻松地向IAST添加自定义规则吗？

管理和更新

有没有集中的方式来更新IAST规则和功能？软件更新是否自动进行？IAST是否包括企业级功能，如LDAP集成、强身份验证、企业级访问控制、传输和静态数据的加密以及完整的安全日志记录？

集成

IAST提供插件，能够和常见的安全及DevOps工具及管道集成吗？对收集到的数据有完整的API吗？这个API也包含管理员操作的功能吗？