洞态IAST v1.1.3 版本正式发布,敏感信息检测能力大增

洞态自发布以来,版本一直保持着两周一次的迭代速度。本周,我们很高兴向大家介绍洞态 v1.1.3 版本。此版本重在增强敏感信息检测能力与提升用户的使用体验,本次版本重点更新内容如下:

  • 增强敏感信息检测能力
  • 新增策略模版管理功能
  • 新增“关于洞态”页面
  • 新增Agent主动验证的关闭功能
  • 优化项目配置
  • 优化组件管理功能

01 增强敏感信息检测能力

  • 支持 HTTP 请求中请求参数
  • 请求体和响应体的检测

使用场景
根据《个人金融信息保护技术规范》要求,C3 以上级别的数据,在进行传输时,需要进行加密处理,包括手机号、密码、身份证号等;不同行业都需要关注敏感数据是否会通过接口、页面等泄漏。

如果需要检查手机号是否明文传输、身份证号是否明文传输、银行卡号是否直接通过接口输出等,可通过该功能,快速排查以上场景。

02 新增策略模板管理功能

使用场景

//场景一:

需求:某互联网公司 A,11月份目标为重点收敛 注入类型 漏洞,因此想在洞态 IAST 中新增 注入类漏洞收敛计划 的策略模版,将所有的注入类漏洞的检测策略全部添加。

做法:在新建项目时,制定策略模版 注入类漏洞收敛计划,即可实现只检测注入类漏洞,实现漏洞的检测与收敛。

//场景二:

需求:12月份,临近年底,A 公司需要重点排查和解决不满足合规要求和 GDPR 要求的漏洞。

做法:创建 GDPR 的策略模板,即可发现不满足 合规 和 GDPR 要求的漏洞,快捷满足监管要求。

//场景三:

需求:第二年年初,A 公司组织安全培训。为提高公司员工对安全的了解,想整理出 OWASP Top 10 相关的漏洞,供研发和测试的同学学习,但人工整理费时费力,希望洞态自动化梳理。

做法:创建 OWASP Top 10 - 2017 的策略模板,快速梳理相关漏洞。研发和测试甚至可以边工作,边了解漏洞情况。
洞态IAST v1.1.3 版本正式发布,敏感信息检测能力大增

03 新增“关于洞态”页面

使用场景
需求:B 公司已经私有化部署 “洞态” 半年,最近了解到 “洞态” 版本已更新好几次,其中 v1.2.0 版本的某些功能正好是B公司迫切需要的。B 公司希望通过升级体验,判断功能能否满足内部需求。

做法:打开“系统配置” 下的 “关于洞态” 的页面,快速看到当前版本,然后利用官方提供的自动升级工具 dtctl 进行升级:dtctl upgrade -f 1.1.3 -t 1.2.0 ,平滑升级后便可体验最新功能啦。
洞态IAST v1.1.3 版本正式发布,敏感信息检测能力大增

04 新增 Agent 主动验证的关闭功能

  • 支持全局控制
  • 支持项目级控制,默认跟随系统的配置

使用场景
需求:由于洞态 IAST 中存在主动验证的功能,C 公司担心主动验证功能会影响业务服务器的性能,但如何关闭该功能呢?

做法:如果想彻底关闭主动验证功能,可在使用管理员账号登录后,进入“系统配置”——“Agent 配置“,然后关闭主动验证功能即可。
洞态IAST v1.1.3 版本正式发布,敏感信息检测能力大增
如果只是想在特定的项目关闭该功能,可以在 “项目配置”中,修改已有项目,打开“高级设置”,然后关闭主动验证功能。

如果是新创建的项目,可以直接在创建项目时,打开“高级设置”,然后关闭主动验证功能。
洞态IAST v1.1.3 版本正式发布,敏感信息检测能力大增

05 项目配置优化

  • 增加高级设置的功能
  • 支持手动选择 Agent

当项目中新增漏洞、组件、API Sitemap 时,修改项目的更新时间。

项目增加高级设置功能,支持控制是否开启主动验证、手动配置关联的 Agent、设置版本名称、版本描述。

使用场景

//场景一:

需求:D 公司想将洞态 IAST 用于 DevOps 流程中,但应用上线频繁,存在大量的应用和项目,手动创建项目太麻烦该怎么办呢?

做法:通过 project.create 参数直接创建项目,参考文档:

https://doc.dongtai.io/03_config/02_agent.html#id1

//场景二:

需求:D 公司已经在内部推广 IAST 一段时间,启动时没有配置项目名称等信息;目前创建项目时都是通过自动创建功能制定,但此前的 Agent 依然存活,且配置无法更改。如何把按照之前的配置方式启动的 Agent 绑定到当前项目中?

做法:通过项目配置的“高级设置”功能,手动配置将需要加入到项目的 Agent绑定到项目上即可。

//场景三:

需求:D 公司的系统上已经有好几千个项目,其中一个项目是在四个月前创建的,但最近检出了漏洞,如何快速找到刚检出漏洞的项目?

做法:洞态 v1.1.3 版本解决了项目更新时间的 bug,当项目中新增漏洞、第三方组件或 API Sitemap 数据时,会修改项目的更新时间,确保有数据变更的项目始终位于前列。
洞态IAST v1.1.3 版本正式发布,敏感信息检测能力大增
洞态IAST v1.1.3 版本正式发布,敏感信息检测能力大增

06 组件管理优化

  • 增加组件的物理路径
  • 组件信息使用表格进行展示

使用场景

需求:检测到第三方组件存在的漏洞后,想快速修复,应该如何排查组件对应的物理路径?

做法:洞态 v1.1.3 版本增加了组件的路径,在检出组件数据的同时,也展示出组件所在的物理漏洞。

关于洞态 IAST
洞态 IAST 是全球首个开源 IAST 产品,于2021年9月1日正式开源发布。洞态 IAST 专注于 DevSecOps,具备高检出率、低误报率、无脏数据的特点,帮助企业在应用上线前发现并解决安全风险。自开源发布以来,洞态 IAST 备受开源社区人员和企业的关注,包括工商银行、去哪儿、知乎、同程旅行、轻松筹等在内的上百家企业都已成为洞态用户。

官网地址://dongtai.io

上一篇:java – 发送邮件时出错 – ConnectException


下一篇:悬镜周幸:新一代代码灰盒安全测试技术创新实践