洞态自发布以来,版本一直保持着两周一次的迭代速度。本周,我们很高兴向大家介绍洞态 v1.1.3 版本。
此版升级重在提升用户的体验。
本次重点更新如下:
-
新增策略模版管理功能
-
新增“关于洞态”页面
-
新增Agent主动验证的关闭功能
-
增强敏感信息检测能力
-
优化项目配置
-
优化组件管理功能
01 新增策略模板管理功能
使用场景
- 场景一
需求:某互联网公司 A,11月份目标为重点收敛 注入类型 漏洞,因此想在洞态 IAST 中新增 注入类漏洞收敛计划 的策略模版,将所有的注入类漏洞的检测策略全部添加。
做法:在新建项目时,制定策略模版 注入类漏洞收敛计划,即可实现只检测注入类漏洞,实现漏洞的检测与收敛。
- 场景二
需求:12月份,临近年底,A 公司需要重点排查和解决不满足 合规
要求和 GDPR
要求的漏洞。
做法:创建 GDPR 的策略模板,即可发现不满足 合规
和 GDPR
要求的漏洞,快捷满足监管要求。
- 场景三
需求:第二年年初,A 公司组织安全培训。为提高公司员工对安全的了解,想整理出 OWASP Top 10
相关的漏洞,供研发和测试的同学学习,但人工整理费时费力,希望洞态自动化梳理。
做法:创建 OWASP Top 10 - 2017
的策略模板,快速梳理相关漏洞。研发和测试甚至可以边工作,边了解漏洞情况。
02 新增“关于洞态”页面
使用场景
需求:B 公司已经私有化部署 洞态 半年,最近了解到 洞态 版本已更新好几次,其中 v1.2.0 版本的某些功能正好是B公司迫切需要的。B 公司希望通过升级体验,判断功能能否满足内部需求。
做法:打开 系统配置 > 关于洞态
的页面,快速看到当前版本,然后利用官方提供的自动升级工具 dtctl
进行升级:
dtctl upgrade -f 1.1.3 -t 1.2.0
平滑升级后便可体验最新功能啦。
03 新增 Agent 主动验证的关闭功能
- 支持全局控制
- 支持项目级控制,默认跟随系统的配置
使用场景
需求:由于洞态 IAST 中存在主动验证的功能,C 公司担心主动验证功能会影响业务服务器的性能,但如何关闭该功能呢?
做法:如果想彻底关闭主动验证功能,可在使用管理员账号登录后,进入 系统配置 > Agent 配置
,然后关闭主动验证功能即可;
如果只是想在特定的项目关闭该功能,可以在 项目配置
中,修改已有项目,打开 高级设置
,然后关闭主动验证功能;
如果是新创建的项目,可以直接在创建项目时,打开 高级设置
,然后关闭主动验证功能。
04增强敏感信息检测能力
- 支持 HTTP 请求中请求参数
- 请求体和响应体的检测
使用场景
根据《个人金融信息保护技术规范》
要求,C3 以上级别
的数据,在进行传输时,需要进行加密处理,包括手机号、密码、身份证号等;不同行业都需要关注敏感数据是否会通过接口、页面等泄漏。
如果需要检查手机号是否明文传输、身份证号是否明文传输、银行卡号是否直接通过接口输出等,可通过该功能,快速排查以上场景。
05 项目配置优化
- 增加高级设置的功能
- 支持手动选择 Agent
当项目中新增漏洞、组件、API Sitemap 时,修改项目的更新时间。
项目增加高级设置功能,支持控制是否开启主动验证、手动配置关联的 Agent、设置版本名称、版本描述。
使用场景
- 场景一
需求:D 公司想将洞态 IAST 用于 DevOps 流程中,但应用上线频繁,存在大量的应用和项目,手动创建项目太麻烦该怎么办呢?
做法:通过 project.create
参数直接创建项目,参考文档:🔗
- 场景二
需求:D 公司已经在内部推广 IAST 一段时间,启动时没有配置项目名称等信息;目前创建项目时都是通过自动创建功能制定,但此前的 Agent 依然存活,且配置无法更改。如何把按照之前的配置方式启动的 Agent 绑定到当前项目中?
做法:通过项目配置的 高级设置
功能,手动配置将需要加入到项目的 Agent 绑定到项目上即可。
- 场景三:
需求:D 公司的系统上已经有好几千个项目,其中一个项目是在四个月前创建的,但最近检出了漏洞,如何快速找到刚检出漏洞的项目?
做法:洞态 v1.1.3 版本解决了项目更新时间的 bug,当项目中新增漏洞、第三方组件或 API Sitemap 数据时,会修改项目的更新时间,确保有数据变更的项目始终位于前列。
06 组件管理优化
- 增加组件的物理路径
- 组件信息使用表格进行展示
使用场景
需求:检测到第三方组件存在的漏洞后,想快速修复,应该如何排查组件对应的物理路径?
做法:洞态 v1.1.3 版本增加了组件的路径,在检出组件数据的同时,也展示出组件所在的物理漏洞。