导语

导语

洞态 IAST 自开源发布以来,一直保持着双周更新一版的节奏不断迭代。项目开启之初,社区小伙伴们参与的积极性很高,为洞态提出了许多建设性意见,也贡献了很多代码,很感谢洞态伙伴们的付出。

DongTai 特发布双周报,希望可以帮助社区的小伙伴们更好地掌握 DongTai 社区的进展,方便大家参与到 DongTai 社区中来。

双周报主要是整理展示新增的社区贡献者(包括 Contributor 和 Committer),并对新版本的功能进行解析。

近期功能亮点

近期功能亮点

1. 洞态 IAST 增加漏洞修复与代码样例

相关 ISSUE:

  • https://github.com/HXSecurity/DongTai/issues/388

贡献者:国舜科技

https://github.com/GuoShunKeJi

2. Java Agent 支持 HTTP 请求管理,支持配置 URI/Headers 头字段,进行请求 ByPass

相关 PR:

  • https://github.com/HXSecurity/DongTai-agent-java/pull/177
  • https://github.com/HXSecurity/DongTai-agent-java/pull/186

贡献者:langligelang

https://github.com/langligelang

3. Java Agent 支持硬编码检测,字段如下:PASSWORD、PASSKEY、PASSPHRASE、SECRET、ACCESS_TOKEN、AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY

相关 PR:

  • https://github.com/HXSecurity/DongTai-agent-java/pull/183
  • https://github.com/HXSecurity/DongTai-agent-java/pull/185

4. Java Agent 获取项目名称支持复用阿里云的相关配置,顺序如下:project.name、mse.appName、arms.appName、service.name

相关 PR:

  • https://github.com/HXSecurity/DongTai-agent-java/pull/183

5. Java Agent 解决部分环境下中文乱码及中文无法检出漏洞的问题

相关 PR:

  • https://github.com/HXSecurity/DongTai-agent-java/pull/188

6. Java Agent 解决启动时 CPU 过高的问题

相关 PR:

  • https://github.com/HXSecurity/DongTai-agent-java/pull/192/files

7. Python Agent 增加 funchook 用于 Python C API 相关的函数/方法, 增加 fstring 方法改写, 增加 str/bytes/bytearray cformat(%) 方法改写

相关 PR:

  • https://github.com/HXSecurity/DongTai-agent-python/pull/75

8. Python Agent 支持 Windows 下 C 语言扩展构建, 添加 Ubuntu/MacOS/Windows 上的构建动作

相关 PR:

  • https://github.com/HXSecurity/DongTai-agent-python/pull/77

9. Python Agent增加 str.__new__, bytes.__new__, bytearray.__init__ 方法改写

相关 PR:

  • https://github.com/HXSecurity/DongTai-agent-python/pull/78

10. Python Agent 增加 pickle.load, pickle.loads 策略规则以检测不安全的反序列化漏洞, 增加 str 相关的方法策略规则以完善污点链路收集

相关 PR:

  • https://github.com/HXSecurity/DongTai-agent-python/pull/80

11. Python Agent 为 HTML 转义添加一些过滤规则, 修复 yaml.load 以及 yaml.load_all 危险参数检查, 对于包含多个危险方法的请求, 在检测到第一个危险方法后不再停止跟踪

相关 PR:

  • https://github.com/HXSecurity/DongTai-agent-python/pull/79

12. Python Agent 性能优化

相关 PR:

  • https://github.com/HXSecurity/DongTai-agent-python/pull/81

新增论坛功能

新增论坛功能

用的不爽

直接开撕

产品用的不爽,想吐槽?

漏洞检测不出,想吐槽?

有误报,想吐槽?

来洞态论坛吧~

论坛地址:
https://support.qq.com/embed/371942?customInfo=%E7%99%BB%E5%BD%95%2C

产品预告

产品预告

  • PHP Agent 即将适配 7.x 版本
  • Go Agent Beta 版本即将发布,届时将支持 SQL 注入漏洞检测

关于洞态 IAST

洞态 IAST 是全球首个开源 IAST ,于2021年9月1日正式开源发布。洞态 IAST 专注于 DevSecOps,具备高检出率、低误报率、无脏数据的特点,帮助企业在应用上线前发现并解决安全风险。自开源发布以来,洞态 IAST 备受开源社区人员和企业的关注,包括工商银行、去哪儿、知乎、同程旅行、轻松筹等在内的上百家企业都已成为洞态用户。

官网地址:http://dongtai.io