新时期化工设备管理与安全
                  Management and Safety of Chemical Equipment in the New Era


             和应用场景，主要的应用安全检测技术有如下三种：
                  1. 静态应用安全检测（SAST）技术
                  即通常所说的代码审计，是一种分析应用程序源代码、字节码或者二进制代

             码的技术，目的是发现存在的安全漏洞，适用于软件生命周期（SDL）开发、测
             试阶段。石化盈科目前在部分项目中会采用此种方式用以加强开发和测试阶段的
             代码级安全漏洞的发现和加固。例如总部集中部署的部分智能工厂应用。其优点
             在于发现更多的代码级漏洞，比如硬编码缺陷或者溢出级漏洞，不足之处在于漏

             洞报告数量众多，是否具有利用价值需要专业人员评判和检验。
                  2. 动态应用安全检测（DAST）技术
                  即通常所说的应用安全检测或者扫描，DAST 模拟黑客手法，对应用程序（常
             见的对象是基于 Web 技术的应用程序和服务）进行仿真攻击，通过分析应用程

             序的对于攻击负载的反应，结合攻击特征库，确定是否存在应用漏洞。适用于测
             试或运维阶段分析处于运行状态的应用程序。这是最常见的应用程序检测方式，
             在总部部署系统需要在上线阶段和验收阶段完成此类检测，高中风险漏洞须整改
             才能获得相应部门的签字，这也是外部测评机构的必测内容。其优点是操作简单，

             而且是业界通用的检测方式，在满足合规方面是必选项，而且以攻击的角度检验
             应用的安全性，经过良好配置的检测报告具有较高的参考价值。
                  3. 交互式应用安全检测（IAST）
                  该技术同时结合了 SAST 和 DAST 的技术特点，不像 DAST 只是通过网络

             流量中应用的响应进行攻击判定，也不像 SAST 需要获得源代码，它通常在测试
             运行环境中部署代理来观察操作或攻击并识别漏洞。石化盈科系统集成事业部开
             发研制的云安全检测平台可以看作是采用类似技术的安全检测产品。其优点在于
             可以检测到一些纯黑盒方式无法识别的安全漏洞，例如业务逻辑缺陷，同时也在

             检测深度和速度上具有比较大的灵活性，同时与白盒技术相比，其漏洞可被利用
             的可信度更高，误报率相对较低。
                  随着供应链攻击事件的快速增长，开源软件的漏洞也列入了应用安全检测范
             畴，软件组合分析（SCA）技术用于识别应用程序中使用的开源和第三方组件及

             其已知的安全漏洞，SCA 在经历过几年的不温不火之外，目前也呈现快速上升
             的趋势，以前作为代码审计类产品的功能组件，目前有些厂家推出了独立的产品，
             也许在不远的将来，会作为单独的技术产品进行评测。应用安全检测传统上是按



             186