运行时应用自我保护技术有什么安全挑战

运行时应用自我保护技术有以下安全挑战：

• 真实的攻击难以识别。每个应用程序有其自己独特的漏洞，并且只能被特殊的攻击所利用。对于某个应用来说完全无害的HTTP请求，对于另一个应用而言可能会造成毁灭性打击。同时，“在线（onthewire）”的数据可能与它在应用中所显示的不同（被称为“阻抗不匹配”问题）。

• 现代应用程序（特别是API）使用复杂的格式，如JSON、XML、序列化对象和自定义二进制格式。这些请求使用除了HTTP之外的各种协议，包括WebSocket，它是由浏览器中的JavaScript、富客户端、移动应用和许多其他源产生的。

• 传统的技术防御没有效果。WAF通过在HTTP流量到达应用服务器之前对其进行分析，完全独立于应用而运作。尽管绝大部分的大型组织都有WAF，但其中许多企业并没有专业的团队对其进行必要的调整和维护，使其只处于“日志模式”。

• 软件正在快速发展，容器、IaaS、PaaS、虚拟机和弹性环境都在经历爆炸性增长。这些技术使得应用程序和API可以快速部署，但同时会将代码暴露给新的漏洞。DevOps也迅速加快了整合、部署和交付的速度，因此确保在快速发展阶段的软件安全的过程变得更加复杂。

• 技术飞速发展，导致应用程序和软件面临的安全问题越来越多，单纯靠某一种技术已经无法将其解决，无论使用哪种方法，最终的结果都是将Web应用防火墙与应用程序的运行时环境绑定在一起。所以技术飞速发展也给RASP技术带来巨大挑战。