IAST是在正常的功能测试过程中采集请求中的污点传播链路及其相关信息，然后基于污点关联算法进行漏洞检测。与DAST相比，IAST的请求参数不是专门针对特定漏洞类型构造的，验证漏洞的准确性或可利用性存在困难。IAST的执行步骤包括采集请求信息、检测漏洞、构造Payload、重放请求和检测漏洞。IAST存在的问题包括与DAST的逻辑差异、性能影响、脏数据、漏洞类型覆盖和重放目标不稳定。IAST的验证方式难以达到DAST的准确率，因此使用独立的DAST产品进行验证可能更好。

本文介绍了被动式IAST和主动式IAST的触发方式、优势和限制，以及洞鉴安全评估系统的功能和优势。洞鉴通过结合洞态IAST和黑盒DAST工具，实现漏洞关联和数据同步。同时强调综合考虑不同安全工具的独特价值，并提出思考一体化平台型产品的方案，以实现更大的经济收益和安全保障效果。