IAST百科全书第17期
IAST扫出来一堆漏洞,怎么管理?
/火/线/安/全/
0x001
Hello 大家好啊,IAST百科全书又和大家见面啦。经过之前一段时间的IAST的安装、运营呢,我们有很多朋友已经顺利地用上了IAST,那么在大家实际使用的过程中,在实际操作的场景中,我们发现大家常常会遇到这样一个问题:
IAST识别出来了很多漏洞,安全团队内部、安全团队和开发团队之间应该如何协作,才能快速地验证漏洞、修复漏洞呢?
这就是我们今天要说的,越来越需要对项目进行批量授权管理的问题。
洞态IAST从1.14版本开始,提供了项目组管理能力。
平台管理员可以根据自身业务跟进和跨部门协同等场景,创建跨部门协同账户的项目组,也可以根据业务线创建项目组后授权给多个协作成员。
在项目列表页面,可以筛选区分项目所属的多个项目组,并通过标签强化了分类展示。
我们先来看几个具体的场景:
01
客户需要根据自身需求对项目进行分类
客户在使用了一段时间的IAST后,产生了多个项目,但这些项目之间或多或少又存在着一些联系,甚至是同一个事件内产生的多个项目。在这种情况下,可以通过洞态的项目组管理功能创建项目组,并添加多个项目进行统一管理。此外,同一个项目也可以授权给多个协作成员。
操作步骤:找到权限管理>项目组>新建项目组>输入项目组名称(可根据公司不同业务部作为项目组名称)>选择加入此项目组的项目名称(支持模糊搜索),在项目列表页可以看到业务部标签
02
项目分支诸多,单个项目一一授权的操作成本高
在开发团队有专人对接漏洞修复的情景下,对安全部门来说,跨部门对接人员相对稳定,但每次新项目都需要给对接人单独进行项目权限授权,非常麻烦。这种情景我们可以通过巧用项目组功能,直接为对接人创建专属的项目组,并随时将新的项目加入这个项目组中,方便随时跟进处理。同一个账号可关联多个项目组,不影响对接人同时处理多个项目或项目组的事项。
操作步骤:找到权限管理>项目组>新建项目组>将对接人作为项目组名称>选择加入此项目组的项目名称(支持模糊搜索),在项目列表页可以看到对接人标签
03
给跨部门协作人员开通单个项目权限
在实际跨部门对接过程中,难免会碰到需要给其他部门的某个同事单独开通某个项目的授权的情况,这应该也是最常见的一种跨部门协作情况了。这种情况按照操作说明,在项目列表中进行管理,单独添加授权账号即可。
操作步骤:漏洞检测>项目列表>管理栏点击设置>项目设置>搜索账号并添加
tips:
若账号已被授权该项目所归属的项目组时,不必重复授权
账号可同时授权给没有从属关系的项目和项目组
若需调整该项目的账号关联关系,需在项目编辑页操作
通过合理的项目及项目组管理
可以有效提高跨部门沟通和漏洞修复的效率
关于IAST的更多落地实践
可以扫码看看洞态IAST的落地实践案例
关于IAST的其他疑问
也欢迎随时联系我们咨询
我们下期再见!
——【往期推荐】——
