10款免費(fèi)工具:敏捷開發(fā)運(yùn)維(DevOps)的好幫手
來源:湖北國(guó)菱編輯部
時(shí)間:2018-06-05
1.OWASP Zed Attack Proxy (ZAP)
有開發(fā)人員免費(fèi)自動(dòng)化安全掃描的能力,能幫開發(fā)團(tuán)隊(duì)無縫融合進(jìn)DevOps工具鏈的Jenkins插件。
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
2.Gauntlt
專門為嵌入持續(xù)集成(CI)流水線而生的安全測(cè)試框架,能讓DevOps團(tuán)隊(duì)自動(dòng)化測(cè)試所用Cucumber框架中許多現(xiàn)有安全工具發(fā)揮作用。
http://gauntlt.org
3.BDD-Security
BDD-Security提供了安全驗(yàn)收測(cè)試框架的額外選擇,是一款無需訪問目標(biāo)源代碼即可工作的外部掃描器。
https://github.com/continuumsecurity/bdd-security
4.Git-Hound
是一款旨在減少敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)的免費(fèi)安全工具,可以提供對(duì)敏感數(shù)據(jù)提交的自動(dòng)檢查,避免敏感數(shù)據(jù)被提交到代碼倉(cāng)庫(kù)中。
https://github.com/ezekg/git-hound
5.Brakeman
是一款開源靜態(tài)代碼分析工具,有著成熟而活躍的社區(qū)支持,能夠捕獲 Ruby onRails 應(yīng)用中的安全漏洞。
https://brakemanscanner.org
6.FindSecurityBugs
與Brakeman類似,F(xiàn)indSecurityBugs也是一款免費(fèi)靜態(tài)代碼分析攻擊,只不過分析目標(biāo)主要集中在Java應(yīng)用程序上。它能嵌入集成開發(fā)環(huán)境(IDE),有適用于Jenkins、Eclipse和Maven等多種平臺(tái)的有用插件。
https://find-sec-bugs.github.io
7.Archery
一款開源漏洞評(píng)估及管理工具,用Selenium執(zhí)行動(dòng)態(tài)身份驗(yàn)證掃描。Archery的 REST API 能讓開發(fā)人員方便地將之融入DevOps工具集。
https://github.com/toolswatch/blackhat-arsenaltools/blob/master/vulnerability_assessment/archery.md
8.CIS Kubernetes 標(biāo)準(zhǔn)檢查程序
Kubernetes為容器化應(yīng)用部署提供了強(qiáng)有力的可擴(kuò)展工具,但正如任何強(qiáng)力可擴(kuò)展工具所需的,它也要求有一些重要的安全實(shí)踐以確保過程中的風(fēng)險(xiǎn)被控制在最小。該工具提供一套很有價(jià)值的自動(dòng)化腳本,可幫助公司企業(yè)遵從那些標(biāo)準(zhǔn)。
https://github.com/neuvector/kubernetes-cis-benchmark
9.Cloudsploit
Cloudsploit幫助DevOps團(tuán)隊(duì)掃描其AWS實(shí)例,查找能直接導(dǎo)致此類數(shù)據(jù)曝光的各種配置錯(cuò)誤和其他安全風(fēng)險(xiǎn)。
https://github.com/cloudsploit/scans
10.InSpec
InsSpec由基礎(chǔ)設(shè)施即代碼提供商Chef主導(dǎo),提供將合規(guī)、安全和策略要求融入到基礎(chǔ)設(shè)施即代碼思想中的工具。
https://www.inspec.io