什么是 IAST（交互式应用安全测试）？

交互式应用安全测试（IAST）是一种将静态应用安全测试（SAST）和动态应用安全测试（DAST）结合起来，以更有效地发现应用程序漏洞的方法。

IAST 的特点包括：

IAST 工具通过在应用程序运行时添加传感器或监控组件来工作。这些工具观察应用程序在测试期间的行为，无论测试是自动化的还是由人执行的。这种方法使 IAST 能够实时检查代码执行、用户输入以及应用程序如何处理数据。
IAST 不会自动扫描整个代码库；其覆盖范围由测试期间应用程序的使用广度决定。测试活动越广泛，漏洞覆盖越深入。
IAST 通常部署在运行自动化或手动功能测试的 QA 或预发布环境中。

为什么 IAST 在网络安全中很重要

SAST 分析源代码、字节码或二进制文件，而无需运行应用程序，并且在发现编码错误方面非常有效，但可能会产生误报并遗漏运行时特定的问题。

DAST 在应用程序运行时从外部进行测试，可以揭示仅在运行时出现的问题，但缺乏对内部逻辑或代码结构的深入可见性。IAST 通过结合这些技术的优势来弥合差距，提供：

Instrumentation: IAST 使用插桩技术，这意味着传感器或监控代码被嵌入到应用程序中（通常在 QA 或预发布环境中）以观察其在测试期间的行为。
Monitoring: 它实时观察数据流、用户输入和代码行为，因为应用程序通过测试或手动操作进行。
Detection: 它标记诸如不安全配置、未清理的数据流或注入风险等漏洞。
Reporting: 向开发人员提供可操作的发现和修复指导，以解决检测到的问题。

在功能测试期间，QA 团队与登录表单进行交互。IAST 工具检测到用户输入流入数据库查询而未进行清理，表明存在潜在的 SQL 注入 风险。团队收到漏洞报告和修复安全问题的可操作步骤。