IAST技術在DevOps開發模型下的實踐研究

黎 曦 嚴敏佳 陳中偉 田 崢 李琪瑤 封靖川

(國網湖南省電力有限公司信息通信分公司 長沙 410007)

1 DevOps開發模型

軟件開發模型可分為3類：瀑布式開發、敏捷開發和研發運維一體化(development operations, DevOps)[1].瀑布式開發為傳統的開發模式，它把軟件項目的開發分隔成不同的開發階段，使用里程碑的方式，嚴格定義了各開發階段的輸入和輸出，軟件交付的周期較長.敏捷開發使用人們熟知的Gradle,Maven,Jenkins等工具進行自動化的代碼編譯、打包，大幅提升了業務的交付速度[2].

隨著技術的發展，DevOps開發模型得到普遍采用.傳統上，軟件研發是一個孤島，研發和運營團隊在流程中獨立工作，DevOps通過將研發運維一體化，消除了研發和運營團隊之間的壁壘，創建了更成熟、更高效的工作環境.相較于傳統的瀑布式開發模式，DevOps具有更短的交付周期、更穩定的交付質量[3].但即便在DevOps開發模式下，安全仍獨立于整個流程之外，甚至與DevOps成為對立面，其主要原因有2個：

1)時間成本.由于安全獨立于DevOps流程，導致安全想要介入研發流程只能打破持續運轉的流水線，進行傳統的漏洞掃描、人工滲透等費時費力的安全測試，如果遇到業務緊急的情況，安全不得不為業務讓步，使得軟件極有可能帶“病”上線.

2)修復成本.DevOps流程外的安全測試在軟件上線前進行，對于此時的軟件而言，已經經過了完整的業務研發和功能驗證測試.將上線前審查出的安全隱患反饋給研發團隊進行整改后，又需要進行新一輪的功能驗證.因此，安全對于企業的成本是“高昂”的.

如何解決DevOps下的研發安全成為人們較為頭疼的問題，在此背景下，研發安全運維一體化(development security operations, DevSecOps)開發模型應運而生.在此模型中，采用應用安全檢測技術將安全測試有效前置，并完美融入DevOps流程中，在完成軟件交付的同時，測試階段即可快速、精準地定位軟件內部的安全隱患和數據泄露隱患.

2 DevSecOps落地分析

DevSecOps從DevOps敏捷開發的理念延伸和演變而來，其核心理念為：在快速迭代模式下，安全是產品研發團隊每個人的責任，需要貫穿從研發到運營整個業務生命周期的每一個環節.它的出現就是為了改變和優化之前安全工作滯后分散的現狀.

不同安全檢測技術的使用成本與效果有所不同，相較于動態應用安全測試(dynamic application security testing, DAST)和靜態應用安全測試(static application security testing, SAST)技術，交互式應用安全測試(interactive application security testing, IAST)技術的使用成本與效果是理想的.SAST的代碼掃描和語義分析導致誤報率居高不下，因而SAST一直被詬病，要真正投入使用一款SAST工具，需要耗費大量的人力成本去做誤報的篩查工作；DAST基于爬蟲與請求響應包的規則匹配技術導致其在漏洞檢出率方面表現不佳[6].表1展示了3種AST技術的對比情況.

表1 3種AST技術的對比情況

3 IAST在DevSecOps模型下的實踐

IAST是高德納公司提出的一種交互式應用程序安全測試方案，通過Web應用服務端部署運行時插樁，收集、監控Web應用程序運行時的函數執行和數據傳輸，并與分析引擎端進行實時交互，高效、準確地識別安全缺陷及漏洞.此外，IAST還可以準確定位安全漏洞所在的代碼文件、行數、函數及參數.從某種程度上說，IAST是綜合DAST和SAST技術優勢的一種運行時灰盒安全測試技術[7].

3.1 主動插樁技術

主動插樁技術需要在被測應用程序中部署插樁探針，使用時需要外部掃描器去觸發探針.一個組件產生惡意攻擊流量，另一個組件在被測應用程序中監測應用程序的反應，以此來定位漏洞和降低誤報[8].圖1顯示了IAST主動插樁技術原理.

圖1 IAST主動插樁技術原理

3.2 被動插樁技術

被動插樁技術是在程序運行時監視應用并分析代碼，它不會主動對Web應用程序執行攻擊，而是純粹被動地分析檢測代碼.在Web應用運行過程中，基于插樁探針實時監控程序的污點數據在系統中的傳播，以檢測數據能否從污點源傳播到污點匯集點.因此，被動插樁技術擁有巨大的技術優勢，它不會影響同時運行的其他測試活動，并且只需要業務測試來觸發安全測試，有正常測試流量就可以實時進行漏洞檢測.圖2顯示了IAST被動插樁技術原理[9].

圖2 IAST被動插樁技術原理

3.3 敏感數據追蹤

軟件中的敏感數據也可以通過IAST進行監測.IAST監視應用的內容包括代碼、內存和數據流，因此可以確定敏感數據(如用戶身份信息、銀行卡號)的流向，檢測數據是否以未受保護方式寫入文件，是否暴露在請求地址(uniform resource locator, URL)中，是否經過恰當加密.只要敏感數據處理不恰當，IAST工具就會標記該數據處理實例，定位數據泄露點，以確保敏感、隱私數據沒有存儲在安全性低或沒有加密的日志文件或數據庫中.利用IAST技術進行敏感數據追蹤有助于軟件達到行業標準及符合法規，如支付卡行業數據安全標準(PCI DSS)和《通用數據保護條例》(GDPR)等[10].

3.4 IAST的影響分析

對于DevSecOps下的流水線而言，IAST的引入主要有2方面的影響：

按文獻發表年度進行統計，形成移動閱讀研究文獻年度分布圖，如圖1所示。2004—2009年是國內移動閱讀的探索期。該時期移動閱讀WAP網站興起，如移動夢網，隨后手機報誕生、免費WAP網站獲得蓬勃發展；該時期針對移動閱讀的研究初步興起，文獻量增長緩慢，影響力較小，但同時期的電子書市場不斷膨脹，涌現出大量閱讀客戶端。2010—2018年移動網絡和智能終端快速普及，移動閱讀相關研究成果大量涌現，2013年迎來研究的高峰。

1)IAST對于現有研發流程的影響；

2)IAST對于研發環境性能的影響.

IAST依賴于DevSecOps的自動化、標準化流水線進行部署，并借助研發流程中自有的功能測試完成軟件的安全測試，故其對研發流程的影響極小.本文重點說明IAST對于研發環境性能的影響，測試環境和測試工具分別如表2和表3所示:

表2 測試環境

表3 測試工具

插樁前對業務網站進行請求訪問，使用網頁查看業務網站訪問速度，如圖3所示；使用壓力測試工具Jmeter每秒1次請求業務網站，并在Jmeter上查看接口響應速度，如圖4所示.

圖3 插樁前網站訪問速度

圖4 插樁前Jmeter接口響應速度

對業務進行插樁部署，再次進行業務訪問并通過網頁查看業務網站訪問速度，如圖5所示；插樁后的Jmeter接口響應速度如圖6所示.

圖5 插樁后網站訪問速度

圖6 插樁后Jmeter接口響應速度

通過Telegraf,Influxdb查看CPU、內存等資源使用情況，插樁前后CPU、內存資源使用率分別如圖7和圖8所示.

圖7 插樁前后CPU資源使用率

圖8 插樁前后內存資源使用率

通過對測試結果的分析可知，進行IAST插樁時對服務器的CPU、內存等資源略有影響，插裝完成后恢復到插樁前業務網站對資源占用的狀態；網站的訪問速度在插樁前后基本一致；插樁前后接口響應速度差異在3 ms之內.綜上所述，IAST插樁前后對業務網站的CPU、內存、訪問速度影響均小于5%.

3.5 IAST的應用實踐

本節以國內某DevOps平臺為例，對研發流程中的IAST安全檢測融合實踐進行說明，如圖9所示：

圖9 國內某DevOps平臺下的IAST安全檢測融合實踐

DevOps大多使用容器虛擬化環境進行軟件的開發交付.由圖9可知，IAST的安全融合可充分利用DevOps的自動化特性，在構建測試環境的同時引入IAST插樁，這里使用修改容器配置文件如DockerFile的方式拉取插樁.由于IAST依賴軟件的運行時環境，簡單修改測試環境的環境變量或啟動參數即可應用IAST插樁對軟件的運行時內存、數據流進行全面監控.隨著流水線運行到測試階段，軟件需要進行全面的自動化功能測試或根據測試用例進行人工測試，IAST可依托功能測試的交互式功能驗證流量，完成軟件每個功能點的安全漏洞風險及敏感數據泄露風險驗證[11].

此外，在驗證軟件功能安全性的基礎上，IAST還可以獲取軟件在運行時加載的開源軟件的相關信息并形成特定指紋，通過指紋信息比對完成軟件的開源軟件威脅審查.軟件的功能測試完成后，相應的安全測試結果隨著軟件功能缺陷一起反饋給研發人員進行整改.

4 結束語

IAST對于DevOps平臺有著天然的適配屬性，可以無縫銜接到每條軟件開發流水線中.IAST測試工具適用于軟件測試環節，可以對測試的軟件功能進行全方位的安全檢測，整個過程安全人員介入較少，無需額外安全測試時間的投入，對現有開發流程的影響較小，真正實現透明無感知的深度漏洞檢測.IAST測試工具在保證安全性的前提下也符合敏捷開發和DevOps模式下軟件產品快速迭代、快速交付的要求[12].