洞态IAST的部署及使用（以Tomcat为例）

一、DevSecOps和IAST

　　这里先引出两篇好文，详细描述了DevSecOps和IAST的原理以及工作过程，在这里我就不赘述了，有兴趣的话直接点击下面链接就好~

• DevSecOps
• IAST

 

二、洞态IAST

　　洞态IAST 是全球首个开源 IAST 产品,于2021年9月1日正式开源发布。目前可以支持Java、Python、Php、Go四种语言。

 

三、实验环境

• Win7虚拟机
• Tomcat 8.5.0
• JDK 8

 

四、搭建过程

　　1.先点这里去注册一个账号，准备下载java探针；

　　2.通过获得的账号密码点击这里进入Agent端，点击添加一个新的代理

 　　3.这里搭建环境选择为：Java+Tomcat，所以选择Java探针；

 

 　　4.搭建好Tomcat后，在apache-tomcat/bin目录下，找到catalina.bat，加入探针：

set CATALINA_OPTS=-javaagent:C:\dongtai-agent.jar -Dproject.name=wavesky

 　　5.开启apache服务，这里要比平时多等一段时间~

 　　6.进入https://iast.io/里，没错的话就可以看到新添加的项目（这里是wavesky）已经有信息了，搭建结束~

 

五、IAST如何使用？

　　通过IAST可以在安全开发或是上线运行后，跟一个监控器一样，保证项目在所有阶段的安全（类似于黑、白盒功能的合计），大大方便了后期尤其是大后期的安全修复及维护。除了如上项目运行监控，还可以把它加入到IDEA中，开发过程中也可以不断检验~这里再放两个使用方法吧：

• https://blog.csdn.net/weixin_40418457/article/details/115396181
• https://blog.csdn.net/weixin_40418457/article/details/119151763