国内主要的IAST工具有火线安全的洞态、默安的雳鉴、悬镜的灵脉和开源网安的Vulhunter，国际上主要有Contrast，Checkmarx，新思，这里咱们重点讲一讲洞态和行业标杆Contrast。

洞态有开源版和商业版两个版本。开源版洞态也是目前为止全球唯一一个开源的IAST。

洞态IAST-开源版

· 漏洞质量高

开源版的洞态支持Owasp Top 10等常见类型的通用Web漏洞检测，官方支持Java检测，由洞态开源社区提供Python、PHP和Go的探针，漏洞检测质量很高。

· 二次开发自由度高、兼容性强

开源意味着洞态的所有源码和检测规则都是全开放的，用户可以根据自己实际的使用需求来进行自定义，有能力的企业用户也可以在这个基础上进行二次开发。一些互联网大厂对洞态做了二开，而且使用效果还不错。

· 简单易用，核心能力稳定

洞态整个安装部署过程都比较简单，界面也比较简洁，对于开发者和安全测试人员来说都非常好上手。洞态的核心架构采集与分析引擎分离在开源版就有提供，这个架构下的核心能力很稳定，agent不用怎么维护也可以保障正常使用。

· 黑盒交叉验证，即时输出漏洞详情

在今年5月更新的最新版本中，洞态开源版也支持了对接黑盒检测的能力，方便用户对漏洞检测结果进行交叉验证。灰盒的检测都是实时的，检测完成后可以即时输出漏洞详情，时间成本很低。

对IAST感兴趣的同学，也可以随时在Github上获取到开源版的洞态，以后我也会单独出一期视频讲解洞态的安装和使用。

https://github.com/HXSecurity/DongTai

洞态IAST-商业版

洞态商业版在开源版的基础上功能更进一步，漏洞覆盖面更广，性能更稳定故障率更低。

洞态商业版新增了全链路漏洞检测、商业级组件漏洞库、开源许可证分析、CI/CD系统集成等更强大的功能，在漏洞详情的基础上还提供了修复建议与完整的漏洞报告，支持微服务链路追踪，可以有效帮助企业降低漏洞发现成本，提高检测和修复的效率。

简单来说，商业版完善了接入DevSecOps流程的能力，检测能力更强，更适合企业用户使用。

好，今天给大家简要介绍了洞态开源和商业两个版本，对洞态的二开改造和落地实践案例感兴趣的小伙伴，可以扫描这个二维码，看看洞态IAST的实际落地实践案例。

下期话题

下期节目：IAST百科全书第5期：常见的IAST工具有哪些？-Contrast篇，我们聊聊IAST“行业标杆”Contrast。