DongTai IAST 开源项目教程

项目介绍

DongTai IAST 是一个开源的交互式应用安全测试（IAST）工具，它通过被动检测技术实时检测Java应用程序和第三方组件中的常见漏洞。该工具特别适合在开发流程的测试阶段使用，能够嵌入到DevSecOps流程中，实现应用漏洞的自动检测、第三方组件梳理和漏洞检测。

项目快速启动

环境准备

• Docker
• Docker Compose

快速启动步骤

1. 克隆项目仓库

   git clone https://github.com/HXSecurity/DongTai.git
   cd DongTai
   

2. 启动服务

   docker-compose up -d
   

3. 访问Web界面

   打开浏览器，访问 http://localhost:80，即可进入DongTai的Web管理界面。

应用案例和最佳实践

应用案例

DongTai IAST 可以广泛应用于以下场景：

• DevSecOps流程：自动检测应用漏洞、第三方组件梳理和漏洞检测。
• 常见漏洞挖掘：实时检测和报告应用程序中的安全漏洞。

最佳实践

• 集成到CI/CD流程：在持续集成和持续部署流程中，使用DongTai IAST进行自动化的安全测试。
• 定期扫描：定期对应用程序进行全面的安全扫描，确保及时发现和修复漏洞。

典型生态项目

DongTai-Base-Image

DongTai-Base-Image 包含了DongTai依赖的基础服务，如MySQL和Redis。

DongTai-Plugin-IDEA

DongTai-Plugin-IDEA 是与Java探针对应的IDEA插件，可以直接通过插件运行Java探针，并在IDEA中直接检测漏洞。

DongTai-OpenAPI

DongTai-OpenAPI 服务用于DongTai IAST的部署，包括docker-compose单节点部署和Kubernetes集群部署等。

通过以上模块的介绍和实践，您可以快速上手并深入使用DongTai IAST，提升应用程序的安全性。