洞态IAST的部署及使用(以Tomcat为例)

一、DevSecOps和IAST

  这里先引出两篇好文,详细描述了DevSecOps和IAST的原理以及工作过程,在这里我就不赘述了,有兴趣的话直接点击下面链接就好~

 

二、洞态IAST

  洞态IAST 是全球首个开源 IAST 产品,于2021年9月1日正式开源发布。目前可以支持Java、Python、Php、Go四种语言。

 

三、实验环境

  • Win7虚拟机
  • Tomcat 8.5.0
  • JDK 8

 

四、搭建过程

  1.先点这里去注册一个账号,准备下载java探针;

  2.通过获得的账号密码点击这里进入Agent端,点击添加一个新的代理

   3.这里搭建环境选择为:Java+Tomcat,所以选择Java探针;

 

   4.搭建好Tomcat后,在apache-tomcat/bin目录下,找到catalina.bat,加入探针:

set CATALINA_OPTS=-javaagent:C:\dongtai-agent.jar -Dproject.name=wavesky

   5.开启apache服务,这里要比平时多等一段时间~

   6.进入https://iast.io/里,没错的话就可以看到新添加的项目(这里是wavesky)已经有信息了,搭建结束~

 

五、IAST如何使用?

  通过IAST可以在安全开发或是上线运行后,跟一个监控器一样,保证项目在所有阶段的安全(类似于黑、白盒功能的合计),大大方便了后期尤其是大后期的安全修复及维护。除了如上项目运行监控,还可以把它加入到IDEA中,开发过程中也可以不断检验~这里再放两个使用方法吧:

  • https://blog.csdn.net/weixin_40418457/article/details/115396181
  • https://blog.csdn.net/weixin_40418457/article/details/119151763
posted @ 2022-07-14 20:22  wavesky  阅读(1244)  评论(0编辑  收藏  举报