东汤Java代理

一分钟了解#

东汤Java代理是东汤交互式应用安全测试(IAST)的数据采集工具，通过字节码重写技术在Java应用运行时收集安全相关数据。它适用于开发者和安全测试人员，在应用上线前进行安全检测，帮助发现潜在漏洞。

核心价值：提供零false positives的应用安全检测能力，无需修改代码即可发现安全漏洞。

快速上手#

安装难度：中 - 需要Java开发环境，配置Java Agent参数

# 运行应用时附加东汤Agent
java -javaagent:/path/to/dongtai-agent.jar -Ddongtai.debug=true -jar app.jar

适合我的场景吗？

• ✅ DevSecOps流程集成：可在CI/CD流程中集成，实现自动化安全检测
• ✅ 预上线安全测试：应用部署前进行全面安全评估
• ✅ 第三方组件管理：检测使用的开源组件中的已知漏洞
• ❌ 小型/简单应用：对于简单的个人项目可能过于复杂
• ❌ 性能敏感环境：字节码注入可能带来轻微性能开销

核心能力#

1. 字节码动态注入 - 无需修改代码实现监控#

• 通过在Java应用启动时注入字节码修改，实现应用运行时方法调用的拦截和数据采集 实际价值：零代码修改即可获得应用运行时行为数据，简化安全测试流程

2. 全面的中间件支持#

• 支持Tomcat、Jetty、WebLogic、WebSphere、SpringBoot等主流Java中间件 实际价值：兼容企业级Java应用环境，无需担心部署兼容性问题

3. 实时数据采集与分析#

• 收集请求/响应数据、方法调用链、参数信息等，实时分析安全漏洞 实际价值：发现0-day漏洞和业务逻辑漏洞，提供精准的安全风险定位

4. 第三方组件漏洞管理#

• 自动识别并分析项目使用的第三方组件，检测已知漏洞 实际价值：及时修复依赖组件的安全问题，避免供应链攻击风险

技术栈与集成#

开发语言：Java 主要依赖：JDK 1.8+, Maven 集成方式：Java Agent (Javaagent参数)

维护状态#

• 开发活跃度：活跃开发，定期发布新版本
• 最近更新：近期有更新，持续维护中
• 社区响应：有积极的社区贡献和问题响应

商用与许可#

许可证：Apache-2.0

• ✅ 商用：允许商用
• ✅ 修改：允许修改
• ⚠️ 限制：需要保留署名信息

文档与学习资源#

• 文档质量：基础文档，包含入门指南
• 官方文档：GitHub仓库中的README
• 示例代码：提供快速开发指南和示例代码