MetaDefender ICAP 5.13.0：无需扩充基础设施即可处理更多流量

只有当网络边缘的文件安全防护能够跟上需求时，它才能发挥作用。当安全 Web 网关对通过的每个文件（包括下载、上传和 Web 内容）进行检查时，该安全层必须保持透明：对用户不可见、在高负载下运行稳定，并且不会成为合规审查中出现问题的根源。

随着流量增长、访问策略收紧以及审计范围扩大，这些运营现实变得越来越难以应对。MetaDefender ICAP Server .13.0 直接解决了其中三个问题。

团队在对ICAP 进行监控时，常会面临一个令人应接不暇的问题：一个用户通过安全网关浏览网页时，可能会在短时间内连续生成数十个甚至数百个ICAP 。每一张图片、每个脚本、每份文档以及每次下载，都会作为独立的文件检查请求同时发送到服务器。

在流量适中的情况下，大多数部署都能顺利处理这种情况。随着并发量的增加，瓶颈通常出现在相关操作中：将结果写入数据库、刷新日志输出、管理线程状态。

在高并发情况下，在同一处理管道中同时处理请求和记录结果会成为瓶颈，恰恰在需求最高峰时限制了吞吐量。

MetaDefender ICAP Server .13.0 将这些操作进行了解耦。现在，扫描线程会在扫描完成的第一时间将数据库写入和日志输出交由专用的后台进程处理，随后立即处理下一个请求。其结果是，检查吞吐量能够更顺畅地随流量增长而扩展，而无需增加硬件或扩大线程池规模。

最适用于：运行安全 Web 网关的团队，在这些环境中，单个用户会话可能会产生数十个并发文件检查请求。流量越大，此变更的影响就越显著。

SAML 单点注销是 SSO 实施中较为常见的疏漏环节之一。团队通常会投入精力配置身份验证，包括建立信任关系、验证断言以及创建会话。而注销环节往往得不到足够的重视，且部分注销功能表面上看似运行正常。

这一漏洞值得关注：当用户从仅清除本地会话的应用程序中注销时，身份提供商（IdP）的会话仍保持活跃状态。该会话可能会在用户不知情的情况下被重复利用。当用户返回登录页面时，系统可能会自动对其进行重新认证，而无需再次输入凭据或进行多因素认证（MFA）。在共享工作站或使用提升权限账户的环境中，这将形成一条超出用户意图的持久访问路径。

MetaDefender ICAP Server .13.0 新增了对 SAML 单点注销 (SLO) 的全面支持。在注销时MetaDefender ICAP Server 直接向身份提供商Server 注销请求，在源端终止会话，并在恢复访问前要求进行新的身份验证。注销后的重定向行为也可进行配置。

对于需要接受访问控制审计或遵循零信任政策的团队而言，这使得会话终止符合完整 SAML 实现的要求。