洞态IAST的部署及使用(以Tomcat为例)
一、DevSecOps和IAST
这里先引出两篇好文,详细描述了DevSecOps和IAST的原理以及工作过程,在这里我就不赘述了,有兴趣的话直接点击下面链接就好~
二、洞态IAST
洞态IAST 是全球首个开源 IAST 产品,于2021年9月1日正式开源发布。目前可以支持Java、Python、Php、Go四种语言。
三、实验环境
- Win7虚拟机
- Tomcat 8.5.0
- JDK 8
四、搭建过程
1.先点这里去注册一个账号,准备下载java探针;
2.通过获得的账号密码点击这里进入Agent端,点击添加一个新的代理
3.这里搭建环境选择为:Java+Tomcat,所以选择Java探针;
4.搭建好Tomcat后,在apache-tomcat/bin目录下,找到catalina.bat,加入探针:
set CATALINA_OPTS=-javaagent:C:\dongtai-agent.jar -Dproject.name=wavesky
5.开启apache服务,这里要比平时多等一段时间~
6.进入https://iast.io/里,没错的话就可以看到新添加的项目(这里是wavesky)已经有信息了,搭建结束~
五、IAST如何使用?
通过IAST可以在安全开发或是上线运行后,跟一个监控器一样,保证项目在所有阶段的安全(类似于黑、白盒功能的合计),大大方便了后期尤其是大后期的安全修复及维护。除了如上项目运行监控,还可以把它加入到IDEA中,开发过程中也可以不断检验~这里再放两个使用方法吧:
- https://blog.csdn.net/weixin_40418457/article/details/115396181
- https://blog.csdn.net/weixin_40418457/article/details/119151763