RASP解决Java安全问题探讨

Java 语言在应用场景下有更健全的性能，对于很多企业而言是应用程序编写选择中的 Plan A。树大招风，这也使得它成为攻击者重点关注的对象。

在软件开发的过程中，程序员通常会引入第三方库提高自己的研发效率。但开源代码的安全性和可靠性很难保证，近年来开源软件漏洞大规模恶意利用、软件供应链投毒事件屡见不鲜，一旦被攻击者发现应用程序中引用了包含已知漏洞的组件，就可能导致服务器被攻击或者敏感数据泄漏，造成无法想象的严重后果。

传统的 Web 应用防护

传统的基于网络的防御涉及 Web 应用程序防火墙和入侵防御系统，以保护生产系统免受外部威胁。为了避免阻塞合法的流量，这类系统往往采用“日志模式”，来防止错杀问题。

利用 AST(Application Security Testing) 工具分析软件是否存在漏洞时，会面临主要问题、次要问题的优先级排序和误报问题的处理，当漏洞无法避免且项目需要按期交付时，这些工具的结果往往就仅停留在“报告”层面了。

基于 RASP 的 Web 应用保护技术

目前较为流行的保护 Java 应用程序的是运用运行时应用程序自我保护 (RASP)，由应用程序运行时本身实现。

RASP