• 新增策略模版管理功能

• 新增“关于洞态”页面

• 新增Agent主动验证的关闭功能

• 增强敏感信息检测能力

• 优化项目配置

• 优化组件管理功能

使用场景

• 场景一

需求：某互联网公司 A，11月份目标为重点收敛 注入类型 漏洞，因此想在洞态 IAST 中新增 注入类漏洞收敛计划 的策略模版，将所有的注入类漏洞的检测策略全部添加。

做法：在新建项目时，制定策略模版 注入类漏洞收敛计划，即可实现只检测注入类漏洞，实现漏洞的检测与收敛。

• 场景二

需求：12月份，临近年底，A 公司需要重点排查和解决不满足 合规 要求和 GDPR 要求的漏洞。

做法：创建 GDPR 的策略模板，即可发现不满足 合规 和 GDPR 要求的漏洞，快捷满足监管要求。

• 场景三

需求：第二年年初，A 公司组织安全培训。为提高公司员工对安全的了解，想整理出 OWASP Top 10 相关的漏洞，供研发和测试的同学学习，但人工整理费时费力，希望洞态自动化梳理。

做法：创建 OWASP Top 10 - 2017 的策略模板，快速梳理相关漏洞。研发和测试甚至可以边工作，边了解漏洞情况。

使用场景

需求：B 公司已经私有化部署 洞态 半年，最近了解到 洞态 版本已更新好几次，其中 v1.2.0 版本的某些功能正好是B公司迫切需要的。B 公司希望通过升级体验，判断功能能否满足内部需求。

做法：打开 系统配置 > 关于洞态 的页面，快速看到当前版本，然后利用官方提供的自动升级工具 dtctl 进行升级：

dtctl upgrade -f 1.1.3 -t 1.2.0 

平滑升级后便可体验最新功能啦。

• 支持全局控制
• 支持项目级控制，默认跟随系统的配置

使用场景

需求：由于洞态 IAST 中存在主动验证的功能，C 公司担心主动验证功能会影响业务服务器的性能，但如何关闭该功能呢？

做法：如果想彻底关闭主动验证功能，可在使用管理员账号登录后，进入 系统配置 > Agent 配置，然后关闭主动验证功能即可；

如果只是想在特定的项目关闭该功能，可以在 项目配置 中，修改已有项目，打开 高级设置，然后关闭主动验证功能；

如果是新创建的项目，可以直接在创建项目时，打开 高级设置，然后关闭主动验证功能。

• 支持 HTTP 请求中请求参数
• 请求体和响应体的检测

使用场景

根据《个人金融信息保护技术规范》要求，C3 以上级别的数据，在进行传输时，需要进行加密处理，包括手机号、密码、身份证号等；不同行业都需要关注敏感数据是否会通过接口、页面等泄漏。

如果需要检查手机号是否明文传输、身份证号是否明文传输、银行卡号是否直接通过接口输出等，可通过该功能，快速排查以上场景。

• 增加高级设置的功能
• 支持手动选择 Agent

当项目中新增漏洞、组件、API Sitemap 时，修改项目的更新时间。

项目增加高级设置功能，支持控制是否开启主动验证、手动配置关联的 Agent、设置版本名称、版本描述。

使用场景

• 场景一

需求：D 公司想将洞态 IAST 用于 DevOps 流程中，但应用上线频繁，存在大量的应用和项目，手动创建项目太麻烦该怎么办呢？

做法：通过 project.create 参数直接创建项目，参考文档：🔗

• 场景二

需求：D 公司已经在内部推广 IAST 一段时间，启动时没有配置项目名称等信息；目前创建项目时都是通过自动创建功能制定，但此前的 Agent 依然存活，且配置无法更改。如何把按照之前的配置方式启动的 Agent 绑定到当前项目中？

做法：通过项目配置的 高级设置 功能，手动配置将需要加入到项目的 Agent 绑定到项目上即可。

• 场景三：

需求：D 公司的系统上已经有好几千个项目，其中一个项目是在四个月前创建的，但最近检出了漏洞，如何快速找到刚检出漏洞的项目？

做法：洞态 v1.1.3 版本解决了项目更新时间的 bug，当项目中新增漏洞、第三方组件或 API Sitemap 数据时，会修改项目的更新时间，确保有数据变更的项目始终位于前列。

• 增加组件的物理路径
• 组件信息使用表格进行展示

使用场景

需求：检测到第三方组件存在的漏洞后，想快速修复，应该如何排查组件对应的物理路径？

做法：洞态 v1.1.3 版本增加了组件的路径，在检出组件数据的同时，也展示出组件所在的物理漏洞。