开源网安VulHunter灰盒安全测试平台_交互式应用安全检测系统-云巴巴 -云巴巴

开源网安VulHunter灰盒安全测试平台

开源网安灰盒安全测试平台（简称 VulHunter）是国内首款自主研发基于 IAST 技术的灰盒安全检测产品，拥有数十项发明专利，专注于 DevSecOps 中的应用安全领域，具有高覆盖、低误报、实时检测等优点，从容应对现有应用安全测试技术面临的诸多挑战。

立即咨询

首页

数字化产品

测试工具

开源网安VulHunter灰盒安全测试平台

安全产品

应用安全测试(AST)定义 icon

IAST—VulHunter 概述 icon

开源网安灰盒安全测试平台

DevSecOps下最佳安全测试平台

最适合敏捷开发的安全测试平台

业务上线前最佳安全测试平台

真正与开发过程融合的应用代码审核平台

IAST—VulHunter 适用场景 icon

IAST—VulHunter 适用阶段说明 icon

(一) 开发环境

1) 单元测试：开发人员自己本身的系统单个模块测试。对外测试常说是开发调试阶段。自己发现的代码自己修正，在开发环境上实现。2) 联调测试：指的是系统与系统之间的接口联调测试，主要以报文发通的联调性验证。依赖开发调试接口为准，大部分时间受跨系统、第三方联调方的接口影响阻断。

(二) 测试环境

1）SIT测试：System Integration Testing /系统集成测试。从系统集成的角度出发，对软件系统进行的一种功能测试，用于确定交付系统的标准。系统集成测试通常基于系统软件规格需求来进行。2）UAT测试：User Acceptance Testing / 用户验收测试（即业务验收测试）。用户验收测试针对SIT测试过的功能、流程、报表、打印等相关功能进行全部验收。并对功能上及打印提出优化建议。测试主要配合业务验收，包括测试执行，测试操作指导，测试问题答疑等。

(三) 预发环境(四) 生产环境 PROD

模拟准生产环境，实现全业务全流程验证，包括投产技术及参数演练、网点开关门、跟账对账、报表核对等。由业务方主导，测试主要配合业务参与部分功能验证和业务指导。目标：实现投产前功能完整性评估和上线风险预防，满足上线要求。根据上线工作指南正式投产，各项目成员按指令、按步骤操作；投产后选取几个网点和特殊用户先内部试运行。直到上线稳定后，直接对外公布投产成功。测试人员主要参与生产事件的测试环境验证，并紧急测试。目标：实现投产前功能完整性评估和上线风险预防，满足上线要求。

IAST—VulHunter 无缝融合测试流程 icon

测试流程：测试工作人员接收到项目需求、验收标准和原型图，并对需求进行分析，以了解项目的需求。并执行系列测试活动：

需求分析

了解需求：需求测试的第一步，需要了解做这个需求是为了什么？以需求出发，从产品视角出发，明确用户用此功能是要做什么？

测试用例

测试用例是对功能的一个拆解和融汇贯通的过程：1）业务逻辑测试：包括正常场景覆盖，异常场景覆盖，条件分支覆盖，业务边界值等。2）构造数据测试：测试用例中一般描述某个场景时，需要加入特定的测试字段或测试点，构造不同的测试数据验证业务的点十分正常。3）数据库：涉及到的数据表-数据字段，比如某些统计信息4）配置文件：测试熟悉掌握配置文件，一方面是能够方便自己排查问题，一方面是提醒开发无遗漏配置文件上线（因为环境问题出问题其实也不少）。

执行测试

按照编写的用例进行执行，所以用例要编写的比较细，分的越小越好。1）提测到test环境，交给测试去执行用例。( VulHunter 仅需测试环境部署探针)2）第一轮冒烟测试，验证主要的功能点是否冒烟通过，如果没有通过，可以打回让开发同学继续开发。3）进入详细测试，过测试用例，提bug；然后再进行bug回归，如果开发质量不高，可以尽管提bug。4）功能回归测试，测试一下新功能是否引起老功能产生问题。

测试报告

测试结果总结：用于报告和总结测试用例的执行结果，对比分析测试中存在的问题为后续工作做出提示并记录遗留的问题：（安全结果报告自动生成，导出）缺陷级别（崩溃、很严重、小错误、文字等）分类（代码错误、界面优化、用户体验）缺陷状态（新建、反馈、认可、已分派、已解决、已关闭）

IAST—VulHunter 技术原理 icon

IAST—VulHunter 部署方式 icon

云端部署

安全检测服务器Server部署在云上，在企业内部每一个被测应用程序所在服务器上，部署安全检测引擎Agent，通过Http/Https进行通讯。

本地部署

安全检测服务器Server、安全检测引擎Agent均部署在企业内部，其中Agent部署在每一个被测应用程序所在服务器中，通过Http/Https进行通讯。

IAST—VulHunter 云端示例 icon

IAST—VulHunter容器支持 icon

VulHunter支撑Java（Java6~Java11）、Node.js 等，支持以下Web容器：

IAST—VulHunter 污点跟踪检测技术 icon

IAST—VulHunter支持微服务框架应用 icon

VulHunter可支持当前业界主流微服务架构上的应用安全检测：

SOFAStack™
SOFAStack™（Scalable Open Financial Architecture Stack）是一套用于快速构建金融级云原生架构的中间件，也是在金融场景里锤炼出来的最佳实践。

Apache Dubbo |ˈdʌbəʊ|
Apache Dubbo |ˈdʌbəʊ| 是一款高性能、轻量级的开源Java RPC框架，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。

Spring
Spring 框架是一个开源的 Java 平台，是最受欢迎的企业级Java 应用程序开发框架，其提供了一个简易的开发方式，将避免那些可能致使底层代码变得繁杂混乱的大量的属性文件和帮助类。

Spring Cloud
Spring Cloud 为开发者提供了在分布式系统（如配置管理、服务发现、断路器、智能路由、微代理、控制总线、一次性Token、全局锁、决策竞选、分布式会话和集群状态）操作的开发工具。

IAST—VulHunter微服务实践 icon

项目建设：采用Docker+微服务的方式运行，管控平台直接和Docker深度集成，在使用过程中，无感知实现各个环节的管控；

方案特性： ★ ★ ★ ★ ★

Vulhunter产品仅需下载一个探针，放入docker镜像，或者使用一个脚本将探针放入docker容器中。在容器运行时，自动区分被测项目，并在Vulhunter页面自动创建应用，个项目的漏洞独立上报展示。

支持通信协议：

1）HTTP/HTTPS协议

2）RPC通信协议，dubbo和sofa协议

3）支持自研的RPC协议

IAST—VulHunter支持分布式 icon

面临挑战：

微服务架构下，登录系统构建了认证服务，用户信息查询服务等，如果认证服务在认证通过后通过调用查询服务来返回用户信息，那么IAST通常只能在认证服务内跟踪，对于查询系统来说属于系统间的调用，难以识别风险点。

创新应对：

VulHunter的跨系统分布式跟踪体系为业内首创，可实现数据在经历了不同的微服务后的持续跟踪并发现相关威胁。

IAST—VulHunter支持弱点类型 icon

IAST—VulHunter 产品解决方案及优势 icon

产品方案

面临痛点

敏捷开发盛行，安全测试时间太短；安全人员不足，安全测试不充分；安全“左移”，落地难；DevOps开发、测试、部署深度融合，自动化程度要求高。

解决方案

部署VulHunter灰盒安全测试工具，在开发、测试阶段“无感知”进行安全测试，提高安全测试效率；支持微服务架构，和容器无缝对接，可快速、高效、全面进行安全测试。

价值体现

真正做到安全“左移”；安全测试效率可提升70%；降低安全测试人员重复工作度，提升安全人员价值。

IAST—VulHunter 应用场景 | 政府部门 icon

IAST—VulHunter 应用场景 | 银行单位 icon

IAST—VulHunter 应用场景 | 证券公司 icon

IAST—VulHunter 应用场景 | DevSecOps icon

产品优势

准确度高
运行时代码级安全检测机制，误报率低

功能测试驱动，检测覆盖高

支持自定义检测规则

无缝集成、低成本
无需源码，开箱即测

部署简单，配置容易

快速嵌入现有开发流程

支持微服务架构和docker集成

支持漏洞类型多
支持安全弱点检测业界最多

支持自研的RPC协议

支持业务逻辑漏洞检测

支持第三方组件安全检测

去专业化
适用开发和测试阶段，降低安全专家投入

对研发人员友好，修复效率高

提供全面的漏洞信息及修复建议

高并发
支持多项目并发检测

实时检测，快速呈现

支持高可用架构

支持自验证
支持主动验证功能

降低漏洞验证成本

提升漏洞确认效率

安全弱点展示 | 企业级管理 icon

安全弱点信息 | 完整展示 icon

检测规则设置 | 优化定制 icon

安全弱点验证 | 支持自验证 icon

第三方软件信息 | 检测展示 icon

测试效果统计 | 测试覆盖度 icon

更多安全检测 | 容器安全 icon

成功案例 | 金融行业 | 中信银行 icon

客户背景

中信银行，成立于1987年，是中国改革开发中最早成立的新兴商业银行之一，是中国最早参与国内外金融市场融资的商业银行。2018年，中信银行在英国《银行家》杂志“全球银行品牌500强排行榜”中排名第24位。

解决方案

提供开发运维一体化(DevOps)VulHunter灰盒安全扫描工具产品。

客户价值

帮助中信银行实现DevSecOps，在应用系统研发过程中消除安全缺陷、降低安全风险。

成功案例 | 金融行业 | 国信证券 icon

客户背景

国信证券，是全国性大型综合类证券公司，AA级证券公司，全国最高等级的两家证券公司之一，并于2014年12月29日在深圳证券交易所上市交易。

解决方案

提供软件安全测试服务和VulHunter灰盒安全扫描工具产品。

客户价值

助力国信证券的软件开发团队，在信息系统的研发过程中做好安全保障，更加有效降低软件的安全风险、消除软件的安全缺陷，同时减少安全检测的时间消耗和成本投入，提高安全检测准确率，使其构建安全可信的软件系统和产品。

成功案例 | 金融行业 | 平安银行 icon

客户背景

平安银行，是中国平安保险（集团)股份有限公司控股的一家跨区域经营的股份制商业银行，为中国大陆12家全国性股份制商业银行之一。

解决方案

提供软件安全开发生命周期(S-SDLC)相关服务和工具产品。

客户价值

帮助平安银行提升了信息系统的安全开发能力成熟度，助力“平安口袋银行安全项目”的安全性提升了250%，口袋银行的安全漏洞价格也达到3.5万人民币一个高危漏洞，是银行业平均水平的5倍以上。

产品推荐

简单云文档管理ezDoc

简单云文档管理ezDoc，全面支持office及主流文件格式，实现文档在线查看，多人实时在线编辑、分享的功能，打破企业信息孤岛，提升企业办公协同能力，打造企业信息管理平台。

免费试用

查看详情

Testin云测Bug探索测试服务

Testin云测Bug探索测试服务，采用探索性测试方法，在无任何先验条件限制的情况下，基于用户、基于经验、基于策略，对产品进行多人次、多维度的随机性功能测试和验证服务。采用传统功能点筛查（check list）的测试方法，结合小团队Bug探索测试，基于测试对象进行逐条功能点的验证，以及发散式随机功能检验的功能测试验收服务。

免费试用

查看详情