系列58集团IASTRASP调研与实践：IAST调研

见贤思齐

背景IAST（InteractiveApplicationSecurityTesting,交互式应用安全测试）、RASP（RuntimeApplicationSelf-Protection,应用运行时自我保护），是两种在程序运行时提供安全能力的产品，由于这两款产品可以获取到程序内部运行中的状态，在程序运行状态视角，可以更准确的进行安全测试、及在运行时的入侵检测。目前针对于Java应用狭义上的IAST、RASP都是通过向应用字节码中插桩增强应用能力，增加漏洞检测逻辑或运行自我保护逻辑。本系列文章，主要介绍我们针对于IAST/RASP的技术调研与实践。包括：对IAST及RASP的调研，调研阶段面向现有的一些产品，对一些关键技术点进行分析总结。后期主要面向IAST/RASP的工程化落地。本文是IAST/RASP调研系列文章第一篇，主要介绍针对于Java场景实现IAST安全检测能力的方案。