无中断DAST：Burp Suite DAST 2025冬季更新解析

AppSec团队持续面临着一个压力：既要保护快速迭代的应用程序，又不能拖慢任何进程。然而，扫描窗口期、脆弱的身份验证机制以及庞大的API资产，常常阻碍了真正的自动化进程。

Burp Suite DAST的最新更新旨在消除这些摩擦。我们引入了一系列新功能，使扫描更可靠、更灵活，且在大规模部署时更易于管理，从而让您在不中断工作流程的情况下持续提升安全性。

以下是本次更新的主要内容概览：

扫描冻结窗口 许多团队需要扫描工作尊重部署周期、维护窗口和变更冻结期。在此之前，这通常意味着需要手动暂停或取消扫描。

扫描冻结窗口功能自动化了这一切。定义扫描不应运行的时间段，Burp Suite DAST将自动暂停扫描。无需人工值守，不会丢失扫描进度，整体自动化流程更加顺畅。

大型资产组合的改进性能 现在，管理大型站点清单的速度更快，一致性更高。无论是组织文件夹、安排扫描，还是调整站点树结构，Burp Suite DAST处理大型资产都比以往更加流畅。

面向CI驱动扫描的直观文件夹组织 如果您通过CI/CD触发扫描，Burp Suite DAST现在会自动将它们放入正确的文件夹中。这能保持环境整洁，并使得跨团队和流水线跟踪结果变得更加容易。

简化的已录制登录管理 登录流程会发生变化，一旦变化，认证扫描往往会中断。现在，您无需从头开始重新录制所有内容，新的“已录制登录编辑器”允许您直接更新单个步骤。您可以在几秒钟内调整字段、选择器和交互，从而以更少的精力保持扫描的准确性。

认证可见性 诊断认证问题不应再依靠猜测。Burp Suite DAST现在能够实时显示后台发生的情况，包括认证失败时的屏幕截图和响应。这使得故障排除变得更加简单快捷。

XPath/CSS认证检查 现代单页应用程序高度依赖动态UI变化。灵活的XPath和CSS检查有助于DAST确认会话是否仍处于认证状态，从而使扫描在动态和JavaScript密集型的应用程序中更加可靠。

认证状态检查器 当会话丢失时，此功能可为您提供即时可见性。如果认证在扫描中途中断，您将立刻知晓，从而减少盲区并防止浪费扫描时间。

扫描Postman集合时支持环境变量 您现在可以导入Postman集合及其关联的环境变量。这意味着更快速、更清晰的设置，并能更准确地复现真实世界的API流量。

OpenAPI定义的自动验证 如果OpenAPI定义存在问题，扫描甚至可能无法开始。Burp Suite DAST现在会预先高亮显示这些问题，以便您在运行扫描前修复它们，从而提高可靠性并减少手动返工。

跨API扫描更一致的准确性 通过改进对身份验证、环境变量和定义结构的处理，Burp Suite DAST在现代API资产（尤其是在大规模部署时）中能够提供更稳定的结果。

所有这些更新都是为了确保扫描过程更顺畅、更可预测，并且更好地与企业工程团队的实际工作方式保持一致。