专栏特辑 | 开发安全铁三角纵横谈（十九）大结局

原标题：专栏特辑 | 开发安全铁三角纵横谈（十九）大结局

开发安全铁三角

为了能更好地理解今天所讲，请大家先回顾一下之前“开发安全铁三角纵横谈”内容。

RASP

运行时应用自我保护（Runtime application self-protection，RASP），这个关键技术和IAST是一样的，也是通过插桩技术，持续地从内部监控你应用中的代码和数据流。IAST是发现应用中存在的漏洞，RASP是发现应用运行时发生的攻击，在发现攻击后，通过中断后续程序运行，来保护应用。

例如：黑客发起一次SQL注入攻击，通过在某个参数中，嵌入攻击字符实现对数据库的攻击。RASP在应用中监控数据流入，发现其并没有做安全的处置，该数据参与SQL命令的拼接，在SQL命令发往数据库执行时，RASP判断其是SQL注入攻击，停止往数据库发送SQL命令，保护应用遭受损失。这就是RASP完整发挥作用的过程。实际产品中，RASP可以配置为监控模式和防护模式：监控模式就是发现后，并不停止应用的运行，只是进行攻击告警；防护模式则停止应用运行，起到防护作用。

事实上，先有RASP后有IAST。就是把RASP的监控模式发展成为以发现漏洞为主要目的检测形式，就形成IAST。

RASP侵入性更强，它注入代码，干预程序的执行。从开发团队角度思考，他们会认为这将失去对程序和代码的控制。因此，不是从开发团队自己去发起的RASP，通常都会遭到开发团队的抵制，导致运行效果不佳。

其他工具

理论上，所有的渗透测试工具（如系统漏洞扫描、ｓｑｌｍａｐ等）都可以开发上线时的安全检测工具，但对于安全团队来说，还是更愿意把重点放在上线前检测的工具叫开发安全检测工具，因此本文就不把这些工具列入范围。

汇总一下：

至此，安全监测部分就讲完了。

后记

《开发安全铁三角丛横谈》陆陆续续、唠唠叨叨了三个月，把我在开发安全方面的一些实践体会给大家整体介绍一下，但也不是很体系，毕竟是实践科学。感谢各位读者的陪伴，希望大家成为开发安全领域的专家，谢谢各位！！返回搜狐，查看更多

责任编辑：