洞态IAST v1.1.3 版本正式发布，敏感信息检测能力大增

洞态自发布以来，版本一直保持着两周一次的迭代速度。本周，我们很高兴向大家介绍洞态 v1.1.3 版本。此版本重在增强敏感信息检测能力与提升用户的使用体验，本次版本重点更新内容如下：

• 增强敏感信息检测能力
• 新增策略模版管理功能
• 新增“关于洞态”页面
• 新增Agent主动验证的关闭功能
• 优化项目配置
• 优化组件管理功能

01 增强敏感信息检测能力

• 支持 HTTP 请求中请求参数
• 请求体和响应体的检测

使用场景
根据《个人金融信息保护技术规范》要求，C3 以上级别的数据，在进行传输时，需要进行加密处理，包括手机号、密码、身份证号等；不同行业都需要关注敏感数据是否会通过接口、页面等泄漏。

如果需要检查手机号是否明文传输、身份证号是否明文传输、银行卡号是否直接通过接口输出等，可通过该功能，快速排查以上场景。

02 新增策略模板管理功能

使用场景

//场景一：

需求：某互联网公司 A，11月份目标为重点收敛 注入类型 漏洞，因此想在洞态 IAST 中新增 注入类漏洞收敛计划 的策略模版，将所有的注入类漏洞的检测策略全部添加。

做法：在新建项目时，制定策略模版 注入类漏洞收敛计划，即可实现只检测注入类漏洞，实现漏洞的检测与收敛。

//场景二：

需求：12月份，临近年底，A 公司需要重点排查和解决不满足合规要求和 GDPR 要求的漏洞。

做法：创建 GDPR 的策略模板，即可发现不满足 合规 和 GDPR 要求的漏洞，快捷满足监管要求。

//场景三：

需求：第二年年初，A 公司组织安全培训。为提高公司员工对安全的了解，想整理出 OWASP Top 10 相关的漏洞，供研发和测试的同学学习，但人工整理费时费力，希望洞态自动化梳理。

做法：创建 OWASP Top 10 - 2017 的策略模板，快速梳理相关漏洞。研发和测试甚至可以边工作，边了解漏洞情况。

03 新增“关于洞态”页面

使用场景
需求：B 公司已经私有化部署 “洞态” 半年，最近了解到 “洞态” 版本已更新好几次，其中 v1.2.0 版本的某些功能正好是B公司迫切需要的。B 公司希望通过升级体验，判断功能能否满足内部需求。

做法：打开“系统配置” 下的 “关于洞态” 的页面，快速看到当前版本，然后利用官方提供的自动升级工具 dtctl 进行升级：dtctl upgrade -f 1.1.3 -t 1.2.0 ，平滑升级后便可体验最新功能啦。

04 新增 Agent 主动验证的关闭功能

• 支持全局控制
• 支持项目级控制，默认跟随系统的配置

使用场景
需求：由于洞态 IAST 中存在主动验证的功能，C 公司担心主动验证功能会影响业务服务器的性能，但如何关闭该功能呢？

做法：如果想彻底关闭主动验证功能，可在使用管理员账号登录后，进入“系统配置”——“Agent 配置“，然后关闭主动验证功能即可。

如果只是想在特定的项目关闭该功能，可以在 “项目配置”中，修改已有项目，打开“高级设置”，然后关闭主动验证功能。

如果是新创建的项目，可以直接在创建项目时，打开“高级设置”，然后关闭主动验证功能。

05 项目配置优化

• 增加高级设置的功能
• 支持手动选择 Agent

当项目中新增漏洞、组件、API Sitemap 时，修改项目的更新时间。

项目增加高级设置功能，支持控制是否开启主动验证、手动配置关联的 Agent、设置版本名称、版本描述。

使用场景

//场景一：

需求：D 公司想将洞态 IAST 用于 DevOps 流程中，但应用上线频繁，存在大量的应用和项目，手动创建项目太麻烦该怎么办呢？

做法：通过 project.create 参数直接创建项目，参考文档：

https://doc.dongtai.io/03_config/02_agent.html#id1

//场景二：

需求：D 公司已经在内部推广 IAST 一段时间，启动时没有配置项目名称等信息；目前创建项目时都是通过自动创建功能制定，但此前的 Agent 依然存活，且配置无法更改。如何把按照之前的配置方式启动的 Agent 绑定到当前项目中？

做法：通过项目配置的“高级设置”功能，手动配置将需要加入到项目的 Agent绑定到项目上即可。

//场景三：

需求：D 公司的系统上已经有好几千个项目，其中一个项目是在四个月前创建的，但最近检出了漏洞，如何快速找到刚检出漏洞的项目？

做法：洞态 v1.1.3 版本解决了项目更新时间的 bug，当项目中新增漏洞、第三方组件或 API Sitemap 数据时，会修改项目的更新时间，确保有数据变更的项目始终位于前列。

06 组件管理优化

• 增加组件的物理路径
• 组件信息使用表格进行展示

使用场景

需求：检测到第三方组件存在的漏洞后，想快速修复，应该如何排查组件对应的物理路径？

做法：洞态 v1.1.3 版本增加了组件的路径，在检出组件数据的同时，也展示出组件所在的物理漏洞。

关于洞态 IAST
洞态 IAST 是全球首个开源 IAST 产品，于2021年9月1日正式开源发布。洞态 IAST 专注于 DevSecOps，具备高检出率、低误报率、无脏数据的特点，帮助企业在应用上线前发现并解决安全风险。自开源发布以来，洞态 IAST 备受开源社区人员和企业的关注，包括工商银行、去哪儿、知乎、同程旅行、轻松筹等在内的上百家企业都已成为洞态用户。

官网地址：//dongtai.io

标签：功能,场景,项目,IAST,v1.1,漏洞,洞态
来源： https://blog.csdn.net/weixin_40418457/article/details/121788316