化学分析与检测技术
                     Chemical Analysis and Detection Techniques


             的数据泄露。可以看出在 Web 攻击中针对 API 的攻击将占据主流。面对占据主
             流地位的应用攻击，相应的应用安全检测技术也在不断发展，根据检测技术特点
             和应用场景，主要的应用安全检测技术有如下三种：
                 1. 静态应用安全检测（SAST）技术

                 即通常所说的代码审计，是一种分析应用程序源代码、字节码或者二进制代
             码的技术，目的是发现存在的安全漏洞，适用于软件生命周期（SDL）开发、测
             试阶段。石化盈科目前在部分项目中会采用此种方式用以加强开发和测试阶段的
             代码级安全漏洞的发现和加固。例如总部集中部署的部分智能工厂应用。其优点

             在于发现更多的代码级漏洞，比如硬编码缺陷或者溢出级漏洞，不足之处在于漏
             洞报告数量众多，是否具有利用价值需要专业人员评判和检验。
                 2. 动态应用安全检测（DAST）技术
                 即通常所说的应用安全检测或者扫描，DAST 模拟黑客手法，对应用程序（常

             见的对象是基于 Web 技术的应用程序和服务）进行仿真攻击，通过分析应用程
             序的对于攻击负载的反应，结合攻击特征库，确定是否存在应用漏洞。适用于测
             试或运维阶段分析处于运行状态的应用程序。这是最常见的应用程序检测方式，
             在总部部署系统需要在上线阶段和验收阶段完成此类检测，高中风险漏洞须整改

             才能获得相应部门的签字，这也是外部测评机构的必测内容。其优点是操作简单，
             而且是业界通用的检测方式，在满足合规方面是必选项，而且以攻击的角度检验
             应用的安全性，经过良好配置的检测报告具有较高的参考价值。
                 3. 交互式应用安全检测（IAST）

                 该技术同时结合了 SAST 和 DAST 的技术特点，不像 DAST 只是通过网络
             流量中应用的响应进行攻击判定，也不像 SAST 需要获得源代码，它通常在测试
             运行环境中部署代理来观察操作或攻击并识别漏洞。石化盈科系统集成事业部开
             发研制的云安全检测平台可以看作是采用类似技术的安全检测产品。其优点在于

             可以检测到一些纯黑盒方式无法识别的安全漏洞，例如业务逻辑缺陷，同时也在
             检测深度和速度上具有比较大的灵活性，同时与白盒技术相比，其漏洞可被利用
             的可信度更高，误报率相对较低。
                 随着供应链攻击事件的快速增长，开源软件的漏洞也列入了应用安全检测范

             畴，软件组合分析（SCA）技术用于识别应用程序中使用的开源和第三方组件及
             其已知的安全漏洞，SCA 在经历过几年的不温不火之外，目前也呈现快速上升


             ·108·