董毅/DONG Yi

（ 北京安普諾信息技術(shù)有限公司，中國(guó) 北京 100193 ）

DevOps的興起打破了開發(fā)與運(yùn)營(yíng)之間的壁壘，幫助企業(yè)快速地將新產(chǎn)品或服務(wù)推向市場(chǎng)。然而，隨著交付效率的提升，傳統(tǒng)的“外掛式”安全和合規(guī)檢測(cè)工具無法跟上快速迭代的步伐，已成為開發(fā)運(yùn)營(yíng)效能提升的瓶頸。內(nèi)生安全的概念在DevOps實(shí)踐中隨即被提出[1]。DevSecOps的核心理念是將安全嵌入DevOps工作流程中，通過在軟件生命周期的不同階段加入相對(duì)應(yīng)的安全工具，賦能軟件內(nèi)生的安全性，有效保障軟件系統(tǒng)的正常上線發(fā)布和穩(wěn)定運(yùn)行[2]。

傳統(tǒng)的安全檢測(cè)工具，如靜態(tài)應(yīng)用程序安全測(cè)試（SAST）工具[3]、動(dòng)態(tài)應(yīng)用程序安全測(cè)試（DAST）工具[4]，經(jīng)常會(huì)輸出一些不準(zhǔn)確的結(jié)果（誤報(bào)或漏報(bào)），因此需要工程師手動(dòng)評(píng)估輸出結(jié)果的準(zhǔn)確性。這與DevSecOps的自動(dòng)化理念背道而馳。此外，防火墻、Web應(yīng)用防火墻（WAF）、下一代WAF、入侵檢測(cè)系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）等都是基于邊界防護(hù)手段[5]。隨著“云大物移智”等技術(shù)的到來，“無界防護(hù)”需求的產(chǎn)生給企業(yè)的安全防護(hù)帶來了新的考驗(yàn)?；谶吔绲膫鹘y(tǒng)網(wǎng)絡(luò)安全防護(hù)遠(yuǎn)不能應(yīng)對(duì)當(dāng)下的網(wǎng)絡(luò)攻擊[6]。

新時(shí)代下的軟件安全開發(fā)運(yùn)營(yíng)既要實(shí)現(xiàn)“安全左移”，又要實(shí)現(xiàn)“敏捷右移”。這一理念催生出代碼疫苗技術(shù)。代碼疫苗技術(shù)是指把某項(xiàng)技術(shù)像疫苗一樣注入應(yīng)用服務(wù)器內(nèi)部，在內(nèi)部清晰看到解析后的流量，感知業(yè)務(wù)運(yùn)行過程的情境上下文。該技術(shù)可被應(yīng)用到軟件成分分析（SCA）、交互式應(yīng)用安全測(cè)試（IAST）、運(yùn)行時(shí)應(yīng)用自保護(hù)（RASP）以及入侵和攻擊模擬（BAS）等工具中[7]。這樣一來，系統(tǒng)既能診斷應(yīng)用自身存在的漏洞和缺陷，也能積極防御外部危險(xiǎn)，進(jìn)行自主檢測(cè)和響應(yīng)。本文主要分析當(dāng)前傳統(tǒng)應(yīng)用安全防護(hù)面臨的問題，闡述當(dāng)前已成功應(yīng)用于IAST和RASP工具中的代碼疫苗技術(shù)，并對(duì)代碼疫苗技術(shù)在DevSecOps體系下的實(shí)踐展開深入研究。

1 代碼疫苗技術(shù)相關(guān)理論概述

1.1 研究背景及現(xiàn)狀

國(guó)際著名咨詢調(diào)查機(jī)構(gòu)Gartner制定了一個(gè)較為全面的DevSecOps工具鏈實(shí)踐清單，并將DevSecOps生命周期分成計(jì)劃、創(chuàng)建、驗(yàn)證、預(yù)發(fā)布、發(fā)布、預(yù)防、檢測(cè)、響應(yīng)、預(yù)測(cè)和改進(jìn)10個(gè)環(huán)節(jié)。其中，每個(gè)環(huán)節(jié)都具有相應(yīng)的安全工具和安全活動(dòng)，如圖1所示。驗(yàn)證階段應(yīng)用的IAST技術(shù)來自2012年Gartner提出的一種新的應(yīng)用程序安全測(cè)試方案。檢測(cè)響應(yīng)階段應(yīng)用的RASP技術(shù)是2014年被Gartner在應(yīng)用安全報(bào)告里列為應(yīng)用安全領(lǐng)域的關(guān)鍵技術(shù)。IAST和RASP技術(shù)已連續(xù)數(shù)年被Gartner列入“十大安全技術(shù)”[8]。

▲圖1 Gartner DevSecOps工具鏈

DevSecOps的根本目標(biāo)是使企業(yè)組織內(nèi)部擁有不斷進(jìn)化的安全能力，讓安全變成一種內(nèi)在屬性嵌入企業(yè)數(shù)字化應(yīng)用的全生命周期中。這樣可以使企業(yè)具備持續(xù)安全的開發(fā)和運(yùn)營(yíng)能力，而不是單純地保障業(yè)務(wù)和業(yè)務(wù)系統(tǒng)的安全[2]。在DevSecOps中，安全工具起到了關(guān)鍵作用。安全活動(dòng)工具化是組織在DevOps基礎(chǔ)上實(shí)現(xiàn)安全敏捷化的前提條件。只有將具體的安全活動(dòng)工具化，追求安全的敏捷化，安全的“敏捷的價(jià)值交付”才能成為可能。建立“端到端”的、完整的安全工具鏈?zhǔn)荄evSecOps安全活動(dòng)工具化的內(nèi)在需求和關(guān)鍵目標(biāo)。近年來，用于改進(jìn)軟件構(gòu)建和交付方式的工具越來越成熟，如持續(xù)集成（CI）/持續(xù)部署（CD）平臺(tái)、微服務(wù)、容器等，但針對(duì)安全的工具開發(fā)還相對(duì)滯后。DevSecOps每個(gè)階段集成了不同的安全工具。每個(gè)安全工具只能發(fā)現(xiàn)應(yīng)用程序中存在的所有漏洞的部分子集。檢測(cè)出的結(jié)果在很大程度上是不同的，甚至是混亂的。另外，通過人工手動(dòng)對(duì)檢測(cè)出來的漏洞信息進(jìn)行篩查整理的方式，會(huì)影響開發(fā)效率，致使DevSecOps難以實(shí)現(xiàn)自動(dòng)化。

針對(duì)上述問題，本文提出當(dāng)前已成功應(yīng)用于IAST工具和RASP工具的代碼疫苗技術(shù)。其中，相較于SAST白盒安全測(cè)試技術(shù)和DAST黑盒安全測(cè)試技術(shù)，IAST技術(shù)具有更高的漏洞檢出率和更多的適配場(chǎng)景，同時(shí)也更加適用于目前流行的DevOps場(chǎng)景[9]。相較于傳統(tǒng)的WAF或IDS在流量層的檢測(cè)，RASP技術(shù)更多的是與應(yīng)用耦合在一起，通過運(yùn)行時(shí)插樁技術(shù)，對(duì)應(yīng)用的運(yùn)行環(huán)境進(jìn)行檢測(cè)。這樣的方式有助于攔截從應(yīng)用程序到系統(tǒng)的所有調(diào)用，確保應(yīng)用程序的安全，從而實(shí)時(shí)檢測(cè)和阻斷各式各樣的安全攻擊。在2021年底爆發(fā)的“核彈級(jí)”Apache Log4j2安全漏洞事件[10]后，RASP的能力得到了更為廣泛的認(rèn)可。

1.2 代碼疫苗技術(shù)基本概述

代碼疫苗技術(shù)是一種能夠通過運(yùn)行時(shí)插樁技術(shù)進(jìn)行風(fēng)險(xiǎn)自發(fā)現(xiàn)及威脅自免疫的新一代安全技術(shù)。該技術(shù)可將IAST技術(shù)的漏洞檢測(cè)能力與RASP技術(shù)的攻擊防護(hù)能力進(jìn)行合并，形成一個(gè)統(tǒng)一的IAST和RASP探針，實(shí)現(xiàn)IAST技術(shù)與RASP技術(shù)的集成，發(fā)揮各自技術(shù)的最大優(yōu)勢(shì)，進(jìn)而形成統(tǒng)一的從漏洞檢測(cè)到漏洞防護(hù)全生命周期的檢測(cè)與防護(hù)解決方案，如圖2所示。代碼疫苗技術(shù)得核心內(nèi)涵主要包含4個(gè)方面：

▲圖2 統(tǒng)一的應(yīng)用安全探針

（1）不需要代碼安全專家逐行分析源代碼；

（2）不需要對(duì)原有代碼邏輯進(jìn)行修改調(diào)整；

（3）不需要維護(hù)復(fù)雜流量過濾策略及規(guī)則；

（4）實(shí)時(shí)監(jiān)測(cè)應(yīng)用程序中由第三方組件引入的風(fēng)險(xiǎn)。

與醫(yī)學(xué)界對(duì)疫苗的定義相似，代碼疫苗技術(shù)并不是傳統(tǒng)的外掛式安全技術(shù)，其側(cè)重點(diǎn)是在軟件應(yīng)用的內(nèi)部構(gòu)筑安全屏障，以便搭建更加有效的內(nèi)生安全防御體系。

1.3 代碼疫苗技術(shù)實(shí)現(xiàn)原理

無論是IAST技術(shù)還是RASP技術(shù)，都依賴以代碼疫苗技術(shù)為內(nèi)核的運(yùn)行時(shí)插樁組件。在應(yīng)用層運(yùn)行時(shí)插樁是通過應(yīng)用啟動(dòng)后替換函數(shù)體或在函數(shù)前后插入檢測(cè)代碼來實(shí)現(xiàn)的。通過插樁代碼，記錄應(yīng)用程序運(yùn)行時(shí)的堆棧數(shù)據(jù)可獲得應(yīng)用運(yùn)行在關(guān)鍵點(diǎn)的數(shù)據(jù)信息。需要注意的是，由于不同語言間存在運(yùn)行時(shí)的環(huán)境差異，因此不同語言實(shí)現(xiàn)插樁的方式也有所區(qū)別。以Java為例，由于Java擁有Instrument的特性，因此在類加載的過程中，需要首先對(duì)所關(guān)注的關(guān)鍵類與方法的字節(jié)碼進(jìn)行修改，然后才能夠達(dá)到插入檢測(cè)邏輯的目的。

運(yùn)行時(shí)插樁技術(shù)和流量代理技術(shù)是IAST最具代表性的兩種技術(shù)。其中，流量代理技術(shù)通過對(duì)鏡像流量、日志等數(shù)據(jù)進(jìn)行重放和分析來達(dá)到檢測(cè)目的，對(duì)研發(fā)測(cè)試人員等完全透明，無流程侵入，也不依賴應(yīng)用編程語言，如圖3所示。

▲圖3 流量代理模式

運(yùn)行時(shí)插樁技術(shù)通過插樁幫助研發(fā)測(cè)試人員快速完成業(yè)務(wù)安全測(cè)試，精準(zhǔn)定位漏洞細(xì)節(jié)并進(jìn)行修復(fù)指導(dǎo)。運(yùn)行時(shí)插樁技術(shù)又分為交互式缺陷定位（主動(dòng)式插樁技術(shù)）和動(dòng)態(tài)污點(diǎn)追蹤（被動(dòng)式插樁技術(shù)）。其中，動(dòng)態(tài)污點(diǎn)分析技術(shù)能夠基于運(yùn)行時(shí)插樁跟蹤外部可控?cái)?shù)據(jù)對(duì)應(yīng)用的影響，分析外部數(shù)據(jù)在應(yīng)用內(nèi)部的流轉(zhuǎn)情況，從而確定應(yīng)用是否存在漏洞。動(dòng)態(tài)IAST擁有無重放數(shù)據(jù)、無臟數(shù)據(jù)、可應(yīng)對(duì)加密簽名接口、可適配復(fù)雜場(chǎng)景等優(yōu)點(diǎn)，因此目前的適用面比較廣泛。

在動(dòng)態(tài)污點(diǎn)分析技術(shù)中，污點(diǎn)傳播過程包括污點(diǎn)輸入、污點(diǎn)傳播、污點(diǎn)匯集3個(gè)階段，如圖4所示。

▲圖4 污點(diǎn)數(shù)據(jù)流

· 污點(diǎn)輸入階段。所有外部數(shù)據(jù)都被默認(rèn)為不可信數(shù)據(jù)，因此需要在外部數(shù)據(jù)進(jìn)入應(yīng)用的時(shí)候，對(duì)其添加污點(diǎn)標(biāo)記。

· 污點(diǎn)傳播階段。此階段的主要目標(biāo)為跟蹤污點(diǎn)數(shù)據(jù)的傳播過程。由于外部數(shù)據(jù)在進(jìn)入應(yīng)用程序時(shí)已被污點(diǎn)標(biāo)記，因此當(dāng)被標(biāo)記數(shù)據(jù)進(jìn)行運(yùn)算或字符串拼接等操作時(shí)，所產(chǎn)生的新數(shù)據(jù)也將會(huì)攜帶污點(diǎn)標(biāo)記。

· 污點(diǎn)匯集階段。此階段需要對(duì)可能觸發(fā)漏洞的函數(shù)進(jìn)行關(guān)注，即確定攜帶污點(diǎn)標(biāo)記的數(shù)據(jù)是否會(huì)匯聚到敏感函數(shù)之上。若該過程發(fā)生，則意味著在應(yīng)用程序中的這些函數(shù)執(zhí)行流程中可能存在著漏洞。在污點(diǎn)傳播階段，如果攜帶污點(diǎn)標(biāo)記的數(shù)據(jù)遇到清潔函數(shù)，并被成功執(zhí)行過濾操作或其他安全操作，則該數(shù)據(jù)所攜帶的污點(diǎn)標(biāo)記將被消除，以此來確認(rèn)這條鏈路的安全性。

RASP的核心是通過插樁技術(shù)將防護(hù)邏輯與防護(hù)功能注入應(yīng)用程序，深入應(yīng)用運(yùn)行時(shí)的環(huán)境內(nèi)部，通過分析與了解上下文數(shù)據(jù)流及事件流，依據(jù)自有的安全規(guī)則列表，檢測(cè)和防護(hù)無法預(yù)見的安全威脅與攻擊事件（如0day攻擊）。這種運(yùn)作模式使得RASP能夠解決一些難題，包括WAF所存在的檢測(cè)規(guī)則與功能無法對(duì)應(yīng)、服務(wù)端防御方式無法知曉、變形及未知威脅防御乏力、微服務(wù)場(chǎng)景難適配等。

RASP主要獲取以下4種運(yùn)行時(shí)的上下文數(shù)據(jù)：

（1）超文本傳輸協(xié)議（HTTP）請(qǐng)求與響應(yīng)數(shù)據(jù)，以及各種遠(yuǎn)程調(diào)用協(xié)議（RPC），例如Dubbo的請(qǐng)求與響應(yīng)數(shù)據(jù)、gRPC等各式RPC框架。

（2）所關(guān)注函數(shù)的執(zhí)行數(shù)據(jù)，包括動(dòng)態(tài)運(yùn)行時(shí)函數(shù)所接收到的完整參數(shù)、調(diào)用函數(shù)的對(duì)象實(shí)例以及函數(shù)執(zhí)行的返回值。獲取運(yùn)行時(shí)過程中的函數(shù)整體執(zhí)行狀態(tài)，就能夠判斷運(yùn)行函數(shù)在執(zhí)行過程中是否存在所關(guān)注的數(shù)據(jù)。

（3）函數(shù)執(zhí)行過程中的調(diào)用棧。獲取完整的函數(shù)調(diào)用棧不僅有助于進(jìn)行漏洞分析與攻擊分析，還有助于分析攻擊者的行為。常用的一些反序列化的攻擊手段都可以通過函數(shù)調(diào)用棧進(jìn)行分析。

（4）應(yīng)用配置信息。獲取應(yīng)用的各類安全配置、代碼內(nèi)屬性配置等信息，可以完整得知該應(yīng)用是否執(zhí)行安全策略。

通過對(duì)上述4種運(yùn)行時(shí)的上下文數(shù)據(jù)進(jìn)行分析和運(yùn)用，RASP可實(shí)現(xiàn)應(yīng)用運(yùn)行時(shí)的自我防護(hù)。根據(jù)采用的算法或者檢測(cè)邏輯，基于運(yùn)行時(shí)上下文的防護(hù)邏輯包括以下4類：

第1類是規(guī)則方式，即對(duì)獲取的參數(shù)或者HTTP請(qǐng)求進(jìn)行規(guī)則匹配。

第2類是基于詞法的分析。由于RASP所獲取的數(shù)據(jù)更加全面，RASP能夠針對(duì)完整的輸入信息（如SQL等）進(jìn)行詞法分析，以判斷關(guān)鍵函數(shù)執(zhí)行點(diǎn)上的數(shù)據(jù)是否存在異常。

第3類是行為及運(yùn)行堆棧檢測(cè)，該檢測(cè)主要用來檢測(cè)敏感函數(shù)的執(zhí)行。例如，WebShell在植入系統(tǒng)后會(huì)通過變形等方式繞過檢測(cè)，但在執(zhí)行系統(tǒng)命令或文件操作的過程中，其必定會(huì)調(diào)用底層運(yùn)行時(shí)的應(yīng)用程序編程接口（API）。此時(shí)借助行為及運(yùn)行堆棧分析能夠獲取執(zhí)行調(diào)用的函數(shù)或函數(shù)調(diào)用棧信息。

第4類是應(yīng)用運(yùn)行配置檢測(cè)，即對(duì)代碼中的動(dòng)態(tài)安全配置及其他配置檢測(cè)。例如，當(dāng)增加某些安全配置后，部分漏洞就無法被再利用了。這其中就包括預(yù)編譯這類防范SQL注入的方式，以及XML外部實(shí)體注入（XXE）的關(guān)閉外部實(shí)體訪問方式等。這樣便能夠完整地了解目前應(yīng)用所存在的安全防護(hù)情況。

在整體防護(hù)體系中，RASP會(huì)與每個(gè)應(yīng)用耦合，但其與WAF、IDS/IPS、防火墻等并不沖突。RASP適用于現(xiàn)代開發(fā)或應(yīng)用架構(gòu)，與應(yīng)用、微服務(wù)是相伴相生的。因此，每個(gè)安全解決方案都是縱深防御體系中的一個(gè)環(huán)節(jié)。圖5為RASP防護(hù)體系位置。

▲圖5 RASP防護(hù)體系位置

2 代碼疫苗技術(shù)在DevSecOps體系下的應(yīng)用

代碼疫苗技術(shù)可以應(yīng)用到多個(gè)不同的場(chǎng)景中。相關(guān)應(yīng)用場(chǎng)景主要分為以下4類：

（1）應(yīng)對(duì)DevOps的檢測(cè)防護(hù)一體化。探針是比較輕量級(jí)的，可以隨流水線一同上線發(fā)布。在開發(fā)和測(cè)試環(huán)節(jié)，IAST可被用于漏洞檢測(cè)。在上線后，RASP則會(huì)被開啟進(jìn)行漏洞防護(hù)，以實(shí)現(xiàn)全流程的檢測(cè)防護(hù)一體化，提高DevOps的效率。

（2）紅藍(lán)對(duì)抗。在這一場(chǎng)景下，RASP充當(dāng)高級(jí)漏洞攻擊防護(hù)工具的角色。目前紅藍(lán)對(duì)抗會(huì)更多地應(yīng)用0day、1day或一些未公開的漏洞利用程序（EXP）進(jìn)行攻防。這對(duì)于傳統(tǒng)的流量手段而言是難以防護(hù)的，而RASP有能力應(yīng)對(duì)一些高級(jí)攻擊。

（3）應(yīng)對(duì)突發(fā)漏洞。RASP能夠提供針對(duì)基于行為與調(diào)用棧位置威脅的檢測(cè)。這可以在一定程度上緩解0day或1day攻擊，為漏洞修復(fù)爭(zhēng)取時(shí)間；也可以利用RASP提供的熱補(bǔ)丁功能，通過一些簡(jiǎn)單配置，先進(jìn)行第一波漏洞攻擊的防護(hù)。

（4）應(yīng)用上線的自免疫。在容器化的環(huán)境之中，將探針和應(yīng)用進(jìn)行打包可使應(yīng)用在上線之后能夠自帶攻擊防護(hù)效果。

應(yīng)對(duì)DevOps的檢測(cè)防護(hù)一體化場(chǎng)景是代碼疫苗技術(shù)應(yīng)用最為重要的場(chǎng)景。代碼疫苗技術(shù)實(shí)現(xiàn)安全工具鏈自動(dòng)化，與DevOps的核心需求（高效和自動(dòng)）高度一致。在開發(fā)流程中同步實(shí)現(xiàn)安全，確保應(yīng)用安全上線，實(shí)現(xiàn)DevSecOps，不僅能為企業(yè)業(yè)務(wù)提供更加及時(shí)、可靠的服務(wù)支持，還能使企業(yè)在數(shù)字化轉(zhuǎn)型中持續(xù)占據(jù)身位優(yōu)勢(shì)與競(jìng)爭(zhēng)優(yōu)勢(shì)。代碼疫苗技術(shù)與DevSecOps流水線集成流程如圖6所示。系統(tǒng)在測(cè)試階段采用IAST工具來檢測(cè)識(shí)別漏洞，在預(yù)發(fā)布和發(fā)布階段利用同一Agent獲取的函數(shù)堆棧信息，并采用RASP技術(shù)對(duì)識(shí)別出來的漏洞進(jìn)行熱補(bǔ)丁修復(fù)，從而實(shí)現(xiàn)對(duì)應(yīng)用程序的實(shí)時(shí)防護(hù)。

▲圖6 代碼疫苗技術(shù)與DevSecOps流水線集成流程圖

DevOps大多在容器虛擬化環(huán)境中進(jìn)行軟件的開發(fā)交付。IAST的安全融合可充分利用DevOps的自動(dòng)化特性，在構(gòu)建測(cè)試環(huán)境的同時(shí)引入代碼疫苗技術(shù)插樁，即IAST和RASP的同一探針。這里我們使用修改容器配置文件（如DockerFile）的方式進(jìn)行插樁。由于代碼疫苗技術(shù)依賴軟件的運(yùn)行環(huán)境，在簡(jiǎn)單修改測(cè)試環(huán)境的環(huán)境變量或啟動(dòng)參數(shù)后，我們就可以應(yīng)用該插樁對(duì)軟件的運(yùn)行時(shí)內(nèi)存和數(shù)據(jù)流進(jìn)行全面監(jiān)控。當(dāng)流水線運(yùn)行到測(cè)試階段時(shí)，軟件需要進(jìn)行全面的自動(dòng)化功能測(cè)試，或者根據(jù)測(cè)試用例進(jìn)行人工測(cè)試。對(duì)此，IAST可依托污點(diǎn)追蹤完成軟件每個(gè)功能點(diǎn)的安全漏洞風(fēng)險(xiǎn)和敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)驗(yàn)證；RASP可依據(jù)同一Agent獲取代碼執(zhí)行流程，對(duì)應(yīng)用進(jìn)行防護(hù)。

如圖7和圖8所示，代碼疫苗技術(shù)成功應(yīng)用到IAST工具和RASP工具中，在不影響企業(yè)現(xiàn)有開發(fā)流程的同時(shí)，實(shí)現(xiàn)了真正透明無感知的深度漏洞檢測(cè)與防護(hù)。代碼疫苗技術(shù)使業(yè)務(wù)和安全充分融合同時(shí)又相互解耦，使數(shù)字化業(yè)務(wù)出廠即帶有默認(rèn)安全能力，實(shí)現(xiàn)跨維檢測(cè)、響應(yīng)與防護(hù)，安全能力可編程、可擴(kuò)展，與業(yè)務(wù)各自獨(dú)立演進(jìn)，讓業(yè)務(wù)按照自身需求敏捷運(yùn)轉(zhuǎn)并進(jìn)行迭代。

▲圖7 代碼疫苗技術(shù)應(yīng)用到交互式應(yīng)用安全測(cè)試工具中

▲圖8 代碼疫苗技術(shù)應(yīng)用到運(yùn)行時(shí)應(yīng)用自保護(hù)工具中

3 結(jié)束語

安全工具和軟件交付工具之間的技術(shù)創(chuàng)新差距是DevOps安全性落后的主要原因之一。IAST與RASP技術(shù)的興起可逐漸滿足DevOps的快速交付需求，有助于應(yīng)對(duì)DevOps面臨的安全挑戰(zhàn)。然而，在DevOps流程中僅僅使用合適的安全工具還遠(yuǎn)遠(yuǎn)不夠。將安全成功地集成到DevOps中將對(duì)安全工具的集成提出更高要求。代碼疫苗技術(shù)的出現(xiàn)實(shí)現(xiàn)了IAST技術(shù)與RASP技術(shù)的集成。該技術(shù)可以將探針布控在軟件生命周期的各個(gè)環(huán)節(jié)，在應(yīng)用程序運(yùn)行時(shí)識(shí)別并應(yīng)對(duì)可能的安全風(fēng)險(xiǎn)事件，為應(yīng)用搭建更加有效的內(nèi)生積極防御體系。

代碼疫苗技術(shù)擁有廣闊的應(yīng)用空間。除IAST和RASP外，代碼疫苗技術(shù)還可以用來實(shí)現(xiàn)運(yùn)行時(shí)SCA、API模糊測(cè)試、應(yīng)用性能管理（APM）等工具。在未來，這一技術(shù)的應(yīng)用范圍會(huì)變得更加廣泛，軟件生命周期各階段中不同的安全工具都將能更好地集成到一個(gè)通用的安全解決方案中，以實(shí)現(xiàn)真正的DevSecOps。

致謝

本文的撰寫得到北京安普諾信息技術(shù)有限公司子芽、寧戈、陳超的幫助，在此表示感謝！