應用程序中存在很多漏洞，導致我們的系統面臨著很多的風險。目前比較常見的有兩種攻擊方式：第一種常見的攻擊方式就是跨站腳本攻擊 （XSS），黑客可以通過「HTML 注入」篡改網頁，從而插入惡意的腳本，在用戶瀏覽網頁時，控制用戶瀏覽器；第二種是 Cross-site request forgery （跨站請求偽造），像是惡意網站在我們不知情的情況下，以我們的身份在網站上發消息、買東西，甚至轉賬等。

對企業而言，比較常見的企業級防護方法包括：防火墻、IPS、AV、VPN、漏洞掃描和審計，還有一種就是 WAF（Web Application Firewall），這種安全解決方案能夠抵抗一些常見的應用層攻擊，目前國內的廠商主要有綠盟和啟明星辰等。

之后到了 2014年9月 份，Gartner 的分析師 Feiman 提出了一種全新概念——實時應用自我保護技術 RASP（RuntimeApplication Self－Protection），能夠與應用一起運行，結合應用的邏輯和數據流，在運行時對訪問應用的代碼進行檢測；對于已知漏洞打虛擬補丁，起到補償控制的作用。該技術已成為目前業界已知的對 SQL 注入防護最高的一種手段，國外的廠商有 Waratek 等。

近日，OneAPM 向 36 氪介紹他們推出的安全自適應平臺OneASP（基于 RASP 概念的新產品 OneRASP），可以集成在應用程序內部，在了解應用上下文的基礎上做出判別，進行代碼級檢測和防護，而且提供了覆蓋 OWASP TOP 10 和常見 CVE 漏洞的規則集。

OneASP 首席安全顧問何迪生是前 ISACA (國際信息系統審計師協會) 北京委員會主席、微軟大中華區信息安全總監、世界貿易組織（WTO ）第六次部長會議首席安全咨詢師，他強調，相對于 WAF、漏洞掃描系統等外圍安全產品，OneRASP 作為實時應用自我防護系統具備以下幾方面優勢：

1. 不僅能發現系統漏洞，而且能對攻擊進行實時自我防護。記錄完整攻擊路徑，將漏洞精確定位到代碼行，降低修復漏洞的難度和成本。

2. 相對應 WAF 對每個用戶輸入都進行全規則集匹配，OneRASP 只在檢查的關鍵點進行防護，比如 SQL 注入只在數據庫連接點進行防護。

3. 探針保護程序和應用程序融合為一體，避免額外的調用或通訊消耗，對應用程序性能和用戶體驗影響小。

4. 通過探針的方式自適應不同規模和部署方式的企業應用的安全防護需求。