导语
洞态 IAST 自开源发布以来,一直保持着双周更新一版的节奏不断迭代。项目开启之初,社区小伙伴们参与的积极性很高,为洞态提出了许多建设性意见,也贡献了很多代码,很感谢洞态伙伴们的付出。
DongTai 特发布双周报,希望可以帮助社区的小伙伴们更好地掌握 DongTai 社区的进展,方便大家参与到 DongTai 社区中来。
双周报主要是整理展示新增的社区贡献者(包括 Contributor 和 Committer),并对新版本的功能进行解析。
近期功能亮点
1. 洞态 IAST 增加漏洞修复与代码样例
相关 ISSUE:
- https://github.com/HXSecurity/DongTai/issues/388
贡献者:国舜科技
https://github.com/GuoShunKeJi
2. Java Agent 支持 HTTP 请求管理,支持配置 URI/Headers 头字段,进行请求 ByPass
相关 PR:
- https://github.com/HXSecurity/DongTai-agent-java/pull/177
- https://github.com/HXSecurity/DongTai-agent-java/pull/186
贡献者:langligelang
https://github.com/langligelang
3. Java Agent 支持硬编码检测,字段如下:PASSWORD、PASSKEY、PASSPHRASE、SECRET、ACCESS_TOKEN、AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY
相关 PR:
- https://github.com/HXSecurity/DongTai-agent-java/pull/183
- https://github.com/HXSecurity/DongTai-agent-java/pull/185
4. Java Agent 获取项目名称支持复用阿里云的相关配置,顺序如下:project.name、mse.appName、arms.appName、service.name
相关 PR:
- https://github.com/HXSecurity/DongTai-agent-java/pull/183
5. Java Agent 解决部分环境下中文乱码及中文无法检出漏洞的问题
相关 PR:
- https://github.com/HXSecurity/DongTai-agent-java/pull/188
6. Java Agent 解决启动时 CPU 过高的问题
相关 PR:
- https://github.com/HXSecurity/DongTai-agent-java/pull/192/files
7. Python Agent 增加 funchook 用于 Python C API 相关的函数/方法, 增加 fstring 方法改写, 增加 str/bytes/bytearray cformat(%) 方法改写
相关 PR:
- https://github.com/HXSecurity/DongTai-agent-python/pull/75
8. Python Agent 支持 Windows 下 C 语言扩展构建, 添加 Ubuntu/MacOS/Windows 上的构建动作
相关 PR:
- https://github.com/HXSecurity/DongTai-agent-python/pull/77
9. Python Agent增加 str.__new__, bytes.__new__, bytearray.__init__ 方法改写
相关 PR:
- https://github.com/HXSecurity/DongTai-agent-python/pull/78
10. Python Agent 增加 pickle.load, pickle.loads 策略规则以检测不安全的反序列化漏洞, 增加 str 相关的方法策略规则以完善污点链路收集
相关 PR:
- https://github.com/HXSecurity/DongTai-agent-python/pull/80
11. Python Agent 为 HTML 转义添加一些过滤规则, 修复 yaml.load 以及 yaml.load_all 危险参数检查, 对于包含多个危险方法的请求, 在检测到第一个危险方法后不再停止跟踪
相关 PR:
- https://github.com/HXSecurity/DongTai-agent-python/pull/79
12. Python Agent 性能优化
相关 PR:
- https://github.com/HXSecurity/DongTai-agent-python/pull/81
新增论坛功能
用的不爽
直接开撕
产品用的不爽,想吐槽?
漏洞检测不出,想吐槽?
有误报,想吐槽?
来洞态论坛吧~
论坛地址:
https://support.qq.com/embed/371942?customInfo=%E7%99%BB%E5%BD%95%2C
产品预告
- PHP Agent 即将适配 7.x 版本
- Go Agent Beta 版本即将发布,届时将支持 SQL 注入漏洞检测
关于洞态 IAST
洞态 IAST 是全球首个开源 IAST ,于2021年9月1日正式开源发布。洞态 IAST 专注于 DevSecOps,具备高检出率、低误报率、无脏数据的特点,帮助企业在应用上线前发现并解决安全风险。自开源发布以来,洞态 IAST 备受开源社区人员和企业的关注,包括工商银行、去哪儿、知乎、同程旅行、轻松筹等在内的上百家企业都已成为洞态用户。
官网地址:http://dongtai.io
热门跟贴