火线安全：洞态 IAST上线首个社区原生的开源Go Agent

近日，火线安全发布消息称，首个社区原生的 Go Agent 已于2022年1月1日正式开源。据悉，该项目由洞态团队与芒果TV 联合开发。作为洞态 IAST 首个社区原生的 Agent ，Go Agent  在洞态社区的发展史中具有重要的意义。

 

这一消息也引起了安全419 的注意，作为业内首款开源的代码安全工具，洞态 IAST 自2021年9月1日宣布正式开源后，已过去4个月的时间。这段时间里洞态IAST的发展情况如何？安全419特连线了洞态社区 Go Agent 项目负责人奇淼与我们分享洞态 IAST 的近况。

 

 

 

奇淼谈到：“其实这个项目的启动含有一定的机缘巧合。我有一个个人的基于 Go 语言开发的开源项目，去年有一位白帽子在项目上挖到了一个 SQL  注入的漏洞，并报告给了我。当时，我们团队内也了解到国内公司正大规模地基于 Go 来开发企业级项目，但开源的 IAST 探针基本是空白的。在这二者的巧合下，我推动了 Go Agent 社区研发的启动。”

 

他介绍，Go 语言的大热，使得洞态团队在开启 Go Agent 项目之初，便受到多个社区用户的关注，芒果TV 便是其中合作最深且贡献度最高的一方。

 

Go Agent 研发的快速启动，肯定是离不开社区用户需求推动的，正是 Go 被大量运用，才促使 Go 语言生态中的“安全生态”备受关注。在安全生态中，“ IAST 是自动化检测最优解”已经成为业内共识。但要将 IAST 的检测能力应用到基于 Go 语言开发的应用中，首先需要有对应的 Go Agent 探针去捕获污点，因此 Go Agent 的研发是建立 Go 语言自动化检测能力的最重要一步。

 

 

奇淼介绍，在用户价值层面，首先Go Agent 的开源弥补了当前市场上针对 Go 语言应用的 IAST 检测工具的缺失，用户可直接运用开源的 IAST 对基于 Go 开发的应用进行安全检测。其次开源Go Agent 也有利于完善 Go 语言生态圈，为安全一环“加色”。

 

洞态 IAST 在9月1日开源后，获得了大量来自社区的反馈和宝贵的意见，同时也出现了大量的同行者和引路人。在社区用户的群策群力下，孵化出项目版本、跨项目的漏洞链路跟踪等 Feature ，优质的敏感信息检测规则，以及重量级的 Go Agent 项目，在短短四个月内获得了飞速发展。 

 

“开源产品的优势在于，用户覆盖面很广，使用场景也会十分丰富。当用户使用产品后，对产品存在的 bug ，体验不优的点，会积极给予反馈。甚至，很多用户会基于自身的使用场景、习惯等，向产品团队提  Issue、PR 。这种形式打造出来的产品，才是最能适应用户需求的产品。” 奇淼谈到。

 

当前，包括 Go 语言在内，洞态 IAST 目前已经支持Java、PHP 以及 Python 四种语言，后续洞态 IAST 还将陆续推出适配其他语言环境的探针技术，以此来为用户带来更优质的解决方案。

 

 

洞态 IAST 是全球首个开源 IAST ，于2021年9月1日正式开源发布。洞态 IAST 专注于 DevSecOps ，具备高检出率、低误报率、无脏数据的特点，帮助企业在应用上线前发现并解决安全风险。自开源发布以来，洞态 IAST 备受开源社区人员和企业的关注，包括去哪儿、同程旅行、轻松筹等在内的近二百家企业均已成为洞态用户。

 

洞态官网：

https://dongtai.io/

 

项目仓库地址：

https://github.com/HXSecurity/DongTai