需要分析 IoT Web 應用是否存在可能泄露敏感數據的漏洞？需要遵守 PCI DSS 或 GDPR 等法規，但又不中斷您的持續集成和交付 （CI/CD） 工作流？如果是這樣，您需要一個漏洞尋求者。

Synopsys 的 Seeker 交互式應用程序安全測試 （IAST） 程序監控代碼、數據流和內存，以識別敏感數據，并確保其不會存儲在加密較弱或不存在的文件或數據庫中。換句話說，該工具不僅可以發現漏洞，還可以確定是否可以利用它們。

通過自動化運行時測試，Seeker 動態分析 HTTP 流量;后端連接;以及開源、第三方和自定義應用程序代碼，用于將誤報與已識別的漏洞區分開來。它測試應用程序組件，包括：

C#，JavaScript，PHP，Scala等語言。

平臺和運行時，如Java和.NET

數據庫，如NoSQL和SQL

應用程序類型，如 JSON、RESTful、Mobile、Web API 等。

云平臺，如Azure，AWS，Google Cloud等。

通過參數識別等功能，該工具會隔離未使用的參數等組件，并用惡意值填充它們，以確定代碼是否可以用作攻擊的后門。

敏感數據的風險以統一的實時視圖呈現給測試人員，其中包含所有檢測到的漏洞的技術解釋。該工具進一步提供基于上下文的修復說明和示例代碼修復，幫助減少團隊調整設計中風險最大的部分所需的 DevOps 時間。

Synopsys聲稱該解決方案“比傳統的動態測試更準確”，還集成了Black Duck Software的二進制分析，用于開源漏洞，版本控制和許可范圍。

Synopsys Seeker IAST 行動：

對于 CI/CD 和 DevOps 部署，Seeker 的原生集成和 Web API 允許將其添加到現有的構建服務器和測試工具中，無論應用程序是本地、基于云的還是容器化的。這允許在軟件開發生命周期的 QA 和測試階段實施該工具的運行時分析和檢測技術，直到生產部署。

當用于發現導致敏感數據的攻擊媒介時，測試人員首先標記信用卡信息、用戶名和密碼等數據，或者屬于 PCI 或 GDPR 等法規范圍的任何數據。然后，在每個應用程序節點（例如容器、VM 和云實例）上部署導引頭代理，這些節點跟蹤應用程序執行的每個操作。這些代理由自動生成的 URL 映射實用程序提供支持，該實用程序生成一個包含測試覆蓋率計劃。

然后，代理執行逐行分析，檢查代碼、敏感數據和數十萬個 HTTP（S） 請求之間的交互，這些請求提供了應用程序組件的全面覆蓋。HTTP請求監控有助于將誤報與真實漏洞隔離開來，Synopsys表示，與替代進程的平均誤報率20%相比，誤報率降低到5%以下。

Seeker 的測試結果顯示在一個全面的儀表板中，該儀表板提供針對 OWASP 前 10 名、PCI DSS、GDPR 和 CWE/SANS 前 25 名的合規性分數或評級。當應用程序面臨暴露敏感信息的風險時，儀表板還會顯示警報。

導引頭也提供不顯眼的被動監控版本

審核編輯：郭婷