Escape

什么是 Escape？

Escape 是一款动态应用安全测试 (DAST) 工具，它重新定义了现代安全团队处理应用安全的方式。它利用 AI 驱动的算法在业务逻辑层面执行渗透测试，超越了传统 DAST 工具，后者侧重于缺失的标头和其他基本漏洞。Escape 与现代技术栈、CI/CD 管道和工作流程无缝集成，使 DevSecOps 实践能够扩展安全性，而不是噪音。

Escape 如何工作？

Escape 的工作原理是分析应用程序的执行上下文并理解其业务逻辑。与传统的扫描器不同，它是完全内部构建的，采用了一种独特的方法。与传统的 DAST 方法相比，这种基于 AI 的业务逻辑安全测试技术实现了 4000% 的代码覆盖率提升。

该平台提供：

• API & Web App Discovery： 提供对您的 Web 应用和 API 的即时代码到云的可视性。
• 大规模 API 文档生成： 帮助生成 API 文档。
• 应用程序攻击面管理： 管理应用程序的攻击面。

主要特性和优势

• 现代技术栈集成： 与现代 Web 框架、API、CI/CD 和 Wiz 无缝协作。与云和 Git 提供商、API 网关、Wiz 等连接。
• 业务逻辑安全测试： 在业务逻辑层面执行动态安全测试，最大限度地减少误报。解决诸如 BOLAs、IDORs 和访问控制问题等漏洞。
• 全面的安全测试： 包括内部构建的 API DAST 和单页应用 DAST。支持 Kubernetes、GraphQL 和微服务安全测试。
• 减少误报： 比传统 DAST 工具减少 87% 的误报。
• 节省时间： 每个安全工程师每月大约节省 12 小时。
• 降低风险： 在最初几周内提供 50% 的应用程序风险降低。

为什么选择 Escape？

• 自动化攻击性安全： Escape 使团队能够无缝地采用攻击性安全扫描作为其 DevSecOps 流程的一部分。
• 应对现代挑战： 传统的 DAST 工具在现代环境中表现不佳，产生噪音并需要不断调整。Escape 从头开始构建，以解决这些问题。
• 积极的用户反馈： 已被各行各业的安全团队部署和赞扬，用户强调其强大的动态扫描、令人印象深刻的算法以及与现有工具的无缝集成。

Escape 适合谁？

Escape 适用于：

• 频繁部署代码并需要能够跟上其步伐的 DAST 工具的安全团队。
• 使用现代技术栈的组织，包括 API 和 GraphQL。
• 希望降低应用程序风险并改善其安全态势的公司。
• 希望自动化攻击性安全并拥抱 DevSecOps 实践的团队。

如何使用 Escape？

开始使用 Escape 的最佳方式是预订演示。这将使您能够看到该平台的实际运行情况，探索其功能，并了解它如何融入您的安全工作流程。您还可以分析 Escape 提供的文档以获取详细步骤。

Escape 解决了哪些问题？

Escape 解决了应用程序安全中的关键挑战：

• 覆盖不足： 传统的 DAST 工具由于对业务逻辑的理解有限，常常会遗漏漏洞。
• 误报： 传统的扫描器会产生大量噪音，浪费时间和资源。
• 集成问题： 许多 DAST 工具与现代开发工作流程的集成效果不佳。
• GraphQL 安全： 传统工具缺乏对 GraphQL API 的覆盖。

公共 API 和 GraphQL 安全的现状如何？

Escape 提供有见地的研究和开源项目：

• API 暴露的现状： 在全球最大的组织中发现了 30,000 个暴露的 API 和 100,000 个问题。
• GraphQL 安全报告 2024： 来自 13,000 个 GraphQL API 问题的见解。
• GraphQL Armor： 用于 GraphQL 服务器引擎的安全中间件，在 npm 上每周下载量为 98,000 次。