洞态自发布以来,版本一直保持着两周一次的迭代速度。本周,我们很高兴向大家介绍洞态 v1.1.3 版本。此版本重在增强敏感信息检测能力与提升用户的使用体验,本次版本重点更新内容如下:
- 增强敏感信息检测能力
- 新增策略模版管理功能
- 新增“关于洞态”页面
- 新增Agent主动验证的关闭功能
- 优化项目配置
- 优化组件管理功能
01 增强敏感信息检测能力
- 支持 HTTP 请求中请求参数
- 请求体和响应体的检测
使用场景
根据《个人金融信息保护技术规范》要求,C3 以上级别的数据,在进行传输时,需要进行加密处理,包括手机号、密码、身份证号等;不同行业都需要关注敏感数据是否会通过接口、页面等泄漏。
如果需要检查手机号是否明文传输、身份证号是否明文传输、银行卡号是否直接通过接口输出等,可通过该功能,快速排查以上场景。
02 新增策略模板管理功能
使用场景
//场景一:
需求:某互联网公司 A,11月份目标为重点收敛 注入类型 漏洞,因此想在洞态 IAST 中新增 注入类漏洞收敛计划 的策略模版,将所有的注入类漏洞的检测策略全部添加。
做法:在新建项目时,制定策略模版 注入类漏洞收敛计划,即可实现只检测注入类漏洞,实现漏洞的检测与收敛。
//场景二:
需求:12月份,临近年底,A 公司需要重点排查和解决不满足合规要求和 GDPR 要求的漏洞。
做法:创建 GDPR 的策略模板,即可发现不满足 合规 和 GDPR 要求的漏洞,快捷满足监管要求。
//场景三:
需求:第二年年初,A 公司组织安全培训。为提高公司员工对安全的了解,想整理出 OWASP Top 10 相关的漏洞,供研发和测试的同学学习,但人工整理费时费力,希望洞态自动化梳理。
做法:创建 OWASP Top 10 - 2017 的策略模板,快速梳理相关漏洞。研发和测试甚至可以边工作,边了解漏洞情况。
03 新增“关于洞态”页面
使用场景
需求:B 公司已经私有化部署 “洞态” 半年,最近了解到 “洞态” 版本已更新好几次,其中 v1.2.0 版本的某些功能正好是B公司迫切需要的。B 公司希望通过升级体验,判断功能能否满足内部需求。
做法:打开“系统配置” 下的 “关于洞态” 的页面,快速看到当前版本,然后利用官方提供的自动升级工具 dtctl 进行升级:dtctl upgrade -f 1.1.3 -t 1.2.0 ,平滑升级后便可体验最新功能啦。
04 新增 Agent 主动验证的关闭功能
- 支持全局控制
- 支持项目级控制,默认跟随系统的配置
使用场景
需求:由于洞态 IAST 中存在主动验证的功能,C 公司担心主动验证功能会影响业务服务器的性能,但如何关闭该功能呢?
做法:如果想彻底关闭主动验证功能,可在使用管理员账号登录后,进入“系统配置”——“Agent 配置“,然后关闭主动验证功能即可。
如果只是想在特定的项目关闭该功能,可以在 “项目配置”中,修改已有项目,打开“高级设置”,然后关闭主动验证功能。
如果是新创建的项目,可以直接在创建项目时,打开“高级设置”,然后关闭主动验证功能。
05 项目配置优化
- 增加高级设置的功能
- 支持手动选择 Agent
当项目中新增漏洞、组件、API Sitemap 时,修改项目的更新时间。
项目增加高级设置功能,支持控制是否开启主动验证、手动配置关联的 Agent、设置版本名称、版本描述。
使用场景
//场景一:
需求:D 公司想将洞态 IAST 用于 DevOps 流程中,但应用上线频繁,存在大量的应用和项目,手动创建项目太麻烦该怎么办呢?
做法:通过 project.create 参数直接创建项目,参考文档:
https://doc.dongtai.io/03_config/02_agent.html#id1
//场景二:
需求:D 公司已经在内部推广 IAST 一段时间,启动时没有配置项目名称等信息;目前创建项目时都是通过自动创建功能制定,但此前的 Agent 依然存活,且配置无法更改。如何把按照之前的配置方式启动的 Agent 绑定到当前项目中?
做法:通过项目配置的“高级设置”功能,手动配置将需要加入到项目的 Agent绑定到项目上即可。
//场景三:
需求:D 公司的系统上已经有好几千个项目,其中一个项目是在四个月前创建的,但最近检出了漏洞,如何快速找到刚检出漏洞的项目?
做法:洞态 v1.1.3 版本解决了项目更新时间的 bug,当项目中新增漏洞、第三方组件或 API Sitemap 数据时,会修改项目的更新时间,确保有数据变更的项目始终位于前列。
06 组件管理优化
- 增加组件的物理路径
- 组件信息使用表格进行展示
使用场景
需求:检测到第三方组件存在的漏洞后,想快速修复,应该如何排查组件对应的物理路径?
做法:洞态 v1.1.3 版本增加了组件的路径,在检出组件数据的同时,也展示出组件所在的物理漏洞。
关于洞态 IAST
洞态 IAST 是全球首个开源 IAST 产品,于2021年9月1日正式开源发布。洞态 IAST 专注于 DevSecOps,具备高检出率、低误报率、无脏数据的特点,帮助企业在应用上线前发现并解决安全风险。自开源发布以来,洞态 IAST 备受开源社区人员和企业的关注,包括工商银行、去哪儿、知乎、同程旅行、轻松筹等在内的上百家企业都已成为洞态用户。
官网地址://dongtai.io