悬镜灵脉IAST

Xmaze IAST Security Test Platform

基于代码疫苗技术的新一代交互式应用安全测试

申请试用

添加小镜
为您答疑解惑

左移的安全赋能

Earlier Security Empowerment

悬镜灵脉IAST灰盒安全测试平台作为一款次世代智慧交互式应用安全测试产品，采用前沿的深度学习技术，融合领先的IAST产品架构，使安全能力左移前置，将精准化的应用安全测试高效无感地应用于从开发到测试的DevSecOps全流程之中。

应用安全测试的进化

The Evolution of AST

传统的应用安全测试主要包括SAST（静态应用安全测试）和DAST（动态应用安全测试）。SAST对应用程序源代码进行白盒分析。分析是在代码的静态视图上运行的，这意味着代码在被检测时并没有运行，SAST的误报率无法得到有效控制，并且难以适用处于生产阶段的系统。DAST对应用进行黑盒测试，无法访问代码细节。DAST产品不用关注底层的技术和平台，因此使用度更广泛，准确率也有不错的保障。但DAST的技术特性决定了其高漏报率的结果，且无法应用于应用的研发阶段。而如今，作为入选Gartner十大信息安全技术的IAST（交互式安全测试），结合了SAST和DAST的优点，低误报率和高检出率同时得到了保证。灰盒测试的特性使IAST可以有效地应用于从开发到生产的全流程当中，让安全测试与SDLC无缝结合。

多源纵深的SCA分析

Multi-source SCA in Depth

灵脉IAST可精准识别应用开发过程中，软件开发人员有意或违规引用的开源第三方组件，并通过智能软件成分分析引擎，多维度提取开源组件特征，计算组件指纹信息，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。相比传统SCA检测平台，灵脉IAST更加侧重应用系统实际运行过程中动态加载的第三方组件及依赖，在此基础上进行深度且更加有效的威胁分析。

全面快捷的容器镜像扫描

Comprehensive Docker Image Threat Scan

在Docker官方镜像中有超过30%的镜像有高危漏洞，平均每一个镜像有127个中危漏洞，几乎没有镜像能免于漏洞侵袭。灵脉IAST可以扫描容器仓库内的镜像，发现相关镜像的威胁漏洞、安装的Package、敏感信息、Malware等，使用户及时全面地获知容器镜像中的不安全因素并及时排除，防患于未然。

平滑无感的流程融合

Senseless Process Integration

悬镜灵脉IAST专为研发、测试、运维等非安全专家设计，简单易用的界面和自动化的检测能力使得任何人都可快速上手，变身安全专家。悬镜灵脉IAST可集成于悬镜夫子、Jira、Jenkins等第三方漏洞管理和项目管理平台，不改变原有的工作流程，不增加额外的工作内容，赋能安全小白在完成功能测试的同时获得安全测试结果。帮助企业无感高效地提升安全能力，轻松实践DevSecOps。

准确高效的
DevSecOps实践

Advanced Practice of DevSecOps

悬镜灵脉IAST内置的轻量级AI插桩程序，能够自动化地进行漏洞验证，并定位漏洞代码的位置。解决了传统产品的高误报结果让研发和测试人员手足无措的窘境，帮助应用研发团队无感高效地提升安全能力。为赋能企业的DevSecOps实践，悬镜灵脉IAST让零误报成为了现实。

*DevSecOps在美国RSA大会上被提出，其核心理念为安全需要贯穿从开发到运维整个业务生命周期的每一个环节才能提供有效保障。

拒绝高成本和高风险

Reject High Cost and Risk

在应用生命周期中，修复漏洞的成本随着发现漏洞阶段的进程成几何级数增长，而传统的DAST产品受限于自身特性，只能作用于应用发布时和上线后，无法在漏洞出现的早期做出有效检测，造成后续修复成本高昂。悬镜灵脉IAST将漏洞检测能力前置，可应用于从研发阶段到运营阶段的全流程当中，帮助开发和测试部门在项目早期就可以检测和修复漏洞，从而降低企业的成本和风险。