一、服务介绍

什么是开源网安灰盒安全测试平台？

开源网安灰盒安全测试平台（VulHunter）是国内首款基于IAST技术自主研发的灰盒安全检测产品，通过插桩技术和流量代理，在研发测试阶段对运行时的应用及API进行实时漏洞检测。VulHunter支持对应用检出漏洞的全生命周期管理、多维度应用安全管控，具有高覆盖、低误报、实时检测等优点，可与DevSecOps流程无缝融合。

二、服务优势

1、 检测模式丰富，检测场景多样

支持插桩模式和流量模式

支持RPC协议检测

支持全链路跟踪微服务应用的各种复杂场景检测

支持对数千应用程序并发安全检测

2、 兼容多种应用环境，检测更全面

支持Java、NodeJS、C#/.Net、PHP、Python、Go检测语言

支持Netty、Play、Spring Framework等11种主流Web应用框架

支持Tomcat、WebLogic、ApusicV10、TongWeb等13种主流和国产Web容器

支持CWE、Owasp Top 10等多种安全检测标准

3、 多维安全风险管理，安全有保障

支持通用漏洞、逻辑漏洞、敏感信息等90种以上漏洞检测类型并持续更新

支持开源组件安全检测，并提供组件漏洞详细信息

支持漏洞自验证、修复验证以及辅助验证多种验证方式

支持企业根据自身安全标准自定义漏洞规则

4、 企业级软件安全管理，使用更放心

支持对检测漏洞信息加密存储和加密传输

支持用户细粒度的权限控制

支持系统关键操作留痕及系统水印

5、 部署简单，探针管理方式丰富

支持冷部署及热加载部署，支持流水线集成、脚本部署

支持CPU、内存多种类型探针熔断机制

支持高并发、性能优先等多种探针应用场景

支持监控探针服务器器健康监测

三、服务功能

1、 应用安全弱点检测

支持近 90 种安全弱点的检测，能对应用程序执行覆盖 OWASP Top 10、CWE/SANS Top 25 以及 PCI DSS 等所包含常见安全弱点的检测。

2、 第三方软件组件漏洞检测

支持检测应用程序中依赖的第三方软件信息：版本号、授权协议、公开漏洞、修复建议等；额外提供组件相关的安全基线管理，增强软件资产管控。

3、 敏感数据跟踪

自动识别身份证，银行卡号、用户标识、令牌等敏感信息，并跟踪其是否经过了不安全的传输或者处理，以及保护不足导致的信息泄露。

4、 完整安全弱点信息展示

提供更全面的安全漏洞检测信息（包括代码定位、请求信息、数据流信息等），检测准确率更高。

5、 企业级安全弱点管理

支持多级管理，每个企业管理员都可以创建若干个部门，且不同部门之间的数据都是互相独立的。

四、应用场景

1、通用场景

• 业务上线前安全检测

目前云应用、微服务应用越来越多，如何跨服务追踪漏洞信息是关键，VulHunter支持分布式全链路数据跟踪，且支持批量自动加载、安全测试汇总、版本迭代管理等功能，可在测试阶段快速完成安全测试。

• 项目开发中安全测试

敏捷开发、快速迭代开发模式中，设计、开发、测试、部署等各环节都在快速推进中，而软件项目的构建被切分成多个子项目，各个子项目的成果都经过测试，具备集成和可运行的特征。VulHunter 适用开发、测试阶段，且不需要安全专家投入，普通开发、测试人员就能使用，特别适合用于软件安全测试，提高软件安全质量。

• 软件检测机构实施使用

软件检测机构针对上报的待检测软件进行安全漏洞检测时，需要工具支持其业务流程，VulHunter（灰盒）集成了白盒（SAST）与DAST（黑盒）优势特性，可以覆盖更多安全漏洞，其输出的报告带有详细数据流程，且具有实时检测效果、无需专家介入等特性，适合检测机构实施使用。

2、私有化部署场景

• S-SDLC服务及解决方案支撑

S-SDLC生命周期的培训、需求、设计、开发、测试、部署/运维的各个阶段，以业务安全和信息安全为出发点，安全要求贯穿所有阶段。VulHunter支持无缝融合S-SDLC开发和测试阶段流程，对运行中的应用进行安全检测，提升软件安全测试的效率和软件开发安全的工作效率。

• DevSecOps流程中无缝融合

DevSecOps日益盛行的现代，配套工具链落地的关键需缩短调度成本，提高自动化效率。VulHunter通过插件或接口方式接入DevOps平台，实现自动化测试，且具有低侵入性，实时检测出结果，漏洞准确率高、误报率低等特性，是公认的DevSecOps场景下的最佳测试工具。