DongTai IAST介绍及docker-compose部署

一、DongTai IAST是什么

DongTai IAST 是由 HXSecurity 开源的一款 交互式应用安全测试(IAST – Interactive Application Security Testing) 工具。简而言之,它通过在应用运行时进行被动探针(agent /hook)收集方法调用/数据流信息,从而识别常见的漏洞(尤其是 Java 应用 + 第三方组件)并在测试流程中提供实时反馈。


二、架构概览

7deebf0a743a8ee886cb71ee95dccf40.png

组件说明:

  • Agent:在被测 Java(或其他语言)应用中植入,采集方法调用、数据流、第三方组件调用等。
  • Server:承载 DongTai-Web + engine + protocol + storage。Server 接收 Agent 上报、执行分析、提供 API/UI。
  • Engine:核心的漏洞分析模块,包括污点追踪、方法调用路径分析、第三方组件漏洞识别。
  • Web UI/API:用户查看报告、整改建议、组件版本扫描结果等。

三、主要功能/特点

  • 实时运行时检测:当应用在测试阶段或预上线阶段运行时,Agent 被动地收集数据并分析,从而发现漏洞。
  • 第三方组件扫描支持:除了自写代码,也可以探测所使用的开源组件中潜在的漏洞。
  • 支持将安全测试融入 DevSecOps 流程:你可以在 CI/CD 流程中调用 DongTai,自动检测、安全报告、反馈给开发。

四、部署

4.1install docker/docke-compose

4.2 image

Dockerfile for build

4.3.dontai v1.16.0

4.4 modify docker-compose.yml

# 4.1file
deploy/docker-compose/docker-compose.yml.example  -> docker-compose.yml

# 4.2image prefix
sed -i '#registry.cn-beijing.aliyuncs.com/huoxian_pub#dongtai#g' docker-compose.yml

# 4.3image tag
sed -i '#{ChangeThisVersion}#1.16.0#g' docker-compose.yml

# 4.4 pull
docker-compose pull

4.4up && testing

docker-compose up -d

open http://ip

b19c6c9a0131e212f1caf8266b356862.png