GitHub上最熱門的11款開源安全工具

惡意軟件分析、滲透測試、計算機取證——GitHub託管着一系列引人注目的安全工具、足以應對各種規模下計算環境的實際需求。

做爲開源開發領域的基石，「全部漏洞皆屬淺表」已經成爲一條著名的原則甚至是信條。做爲廣爲人知的Linus定律，當討論開源模式在安全方面的優點時，開放代碼可以提升項目漏洞檢測效率的理論也被IT專業人士們所廣泛接受。

如今，隨着GitHub等高人氣代碼共享站點的相繼涌現，整個開源行業開始愈來愈多地幫助其它企業保護本身的代碼與系統，併爲其提供多種多樣的安全工具與框架，旨在完成惡意軟件分析、滲透測試、計算機取證以及其它同類任務。

如下十一個基本安全項目所有立足於GitHub。任何一位對安全代碼及系統抱有興趣的管理員都有必要對它們加以關注。

一、Metasploit 框架

做爲由開源社區及安全企業Rapid7一手推進的項目，Metasploit框架是一套專門用於滲透測試的漏洞開發與交付系統。它的做用相似於一套 漏洞庫，可以幫助管理人員經過定位弱點實現應用程序的安全性評估，並在攻擊者發現這些弱點以前採起補救措施。它可以被用於對Windows、Linux、 Mac、Android、iOS以及其它多種系統平臺進行測試。

「Metasploit爲安全研究人員提供了一種途徑，可以以相對廣泛的格式對安全漏洞加以表達，」Rapid7公司工程技術經理Tod Beardsley指出。「咱們針對所有設備類型打造出數千種模塊——包括普通計算機、手機、路由器、交換機、工業控制系統以及嵌入式設備。我幾乎想不出 有哪一種軟件或者固件沒法發揮Metasploit的出色實用性。」 項目連接：https://github.com/rapid7/metasploit-framework

二、Brakeman

Brakeman是一款專門面向Ruby on Rails應用程序的漏洞掃描工具，同時也針對程序中一部分數值向另外一部分傳遞的流程執行數據流分析。用戶無需安裝整套應用程序堆棧便可使用該軟件，Brakeman締造者兼維護者Justin Collins解釋道。

儘管速度表現還稱不上無與倫比，但Brakeman在大型應用程序掃描方面只需數分鐘、這樣的成績已經超越了「黑盒」掃描工具。雖然最近已經有針對 性地做出了修復，但用戶在使用Brakeman時仍然須要留意誤報情況。Brakeman應該被用於充當網站安全掃描工具。Collins目前尚未將其 拓展至其它平臺的計劃，不過他鼓勵其餘開發人員對項目代碼做出改進。項目連接：https://github.com/presidentbeef/brakeman

三、Cuckoo Sandbox

Cuckoo Sandbox是一款自動化動態惡意軟件分析系統，專門用於檢查孤立環境當中的可疑文件。

「這套解決方案的主要目的是在啓動於Windows虛擬機環境下以後，自動執行並監控任何給定惡意軟件的異常活動。當執行流程結束之 後，Cuckoo會進一步分析收集到的數據並生成一份綜合性報告，用於解釋惡意軟件的具體破壞能力，」項目創始人Claudio Guarnieri表示。

Cuckoo所形成的數據包括本地功能與Windows API調用追蹤、被建立及被刪除的文件副本以及分析機內存轉儲數據。用戶能夠對該項目的處理與報告機制進行定製，從而將報告內容生成爲不一樣格式，包括 JSON與HTML。Cuckoo Sandbox已經於2010年開始成爲谷歌代碼之夏中的項目之一。項目連接：https://github.com/cuckoobox/cuckoo

四、Moloch

Moloch是一套可擴展式IPv4數據包捕捉、索引與數據庫系統，可以做爲簡單的Web界面實現瀏覽、搜索與導出功能。它藉助HTTPS與HTTP機制實現密碼支持或者前端Apahce能力，並且無需取代原有IDS引擎。

該軟件可以存儲並檢索標準PCAP格式下的全部網絡流量，並可以被部署到多種系統之上、每秒流量處理能力也可擴展至數GB水平。項目組件包括捕捉、 執行單線程C語言應用程序、用戶也能夠在每臺設備上運行多個捕捉進程;一套查看器，這實際是款Node.js應用程序、針對Web接口以及PCAP文件傳 輸;而Elasticsearch數據庫技術則負責搜索類任務。項目連接：https://github.com/aol/moloch

五、MozDef：Mozilla防護平臺

這款Mozilla防護平臺，也就是MozDef，旨在以自動化方式處理安全事件流程，從而爲防護者帶來與攻擊者相對等的能力：一套實時集成化平臺，可以實現監控、反應、協做並改進相關保護功能，該項目締造者Jeff Bryner解釋稱。

MozDef對傳統SEIM（即安全信息與事件管理）功能做出擴展，使其具有了協同事件響應、可視化以及易於集成至其它企業級系統的能 力，Bryner指出。它採用Elasticsearch、Meteor以及MongoDB收集大量不一樣類型的數據，並可以根據用戶需求以任意方式加以保 存。「你們能夠將MozDef視爲一套立足於Elasticsearch之上的SIEM層，可以帶來安全事件響應任務流程，」Bryner表示。該項目於 2013年在Mozilla公司內部開始進行概念驗證。項目連接：https://github.com/jeffbryner/MozDef

六、MIDAS

做爲由Etsy與Facebook雙方安全團隊協做打造的產物，MIDAS是一套專門針對Mac設備的入侵檢測分析系統框架（即Mac intrusion detection analysis systems，縮寫爲MIDASes）。這套模塊框架提供輔助工具及示例模型，可以對OS X系統駐留機制中出現的修改活動進行檢測。該項目基於《自制防護安全》與《攻擊驅動防護》兩份報告所闡述的相關概念。

「咱們發佈這套框架的共同目標在於促進這一領域的探討熱情，併爲企業用戶提供解決方案雛形、從而對OS X終端當中常見的漏洞利用與駐留模式加以檢測，」Etsy與Facebook雙方安全團隊在一份說明文檔中指出。MIDAS用戶可以對模塊的主機檢查、驗 證、分析以及其它針對性操做進行定義。項目連接：https://github.com/etsy/MIDAS

七、Bro

Bro網絡分析框架「與大多數人所熟知的入侵檢測機制存在着本質區別，」Bro項目首席開發者兼加州伯克利大學國際計算機科學協會高級研究員Robin Sommer指出。

儘管入侵檢測系統一般可以切實匹配當前存在的各種攻擊模式，但Bro是一種真正的編程語言，這使其相較於那些典型系統更爲強大，Sommer表示。它可以幫助用戶立足於高語義層級執行任務規劃。

Bro的目標在於搜尋攻擊活動並提供其背景信息與使用模式。它可以將網絡中的各設備整理爲可視化圖形、深刻網絡流量當中並檢查網絡數據包;它還提供一套更具通用性的流量分析平臺。項目連接：https://github.com/bro/bro

八、OS X Auditor

OS X Auditor是一款免費計算機取證工具，可以對運行系統之上或者須要分析的目標系統副本當中的僞跡進行解析與散列處理。包括內核擴展、系統與第三方代理及後臺程序、不適用的系統以及第三方啓動項、用戶下載文件外中已安裝代理。

用戶的受隔離文件則能夠提取自Safari歷史記錄、火狐瀏覽器cookies、Chrome歷史記錄、社交與郵件帳戶以及受審計系統中的Wi-Fi訪問點。項目連接：https://github.com/jipegit/OSXAuditor

九、The Sleuth Kit

The Sleuth Kit是一套庫與多種命令行工具集合，旨在調查磁盤鏡像，包括各分卷與文件系統數據。該套件還提供一款插件框架，容許用戶添加更多模塊以分析文件內容並創建自動化系統。

做爲針對微軟及Unix系統的工具組合，Sleuth Kit容許調查人員從鏡像當中識別並恢復出事件響應過程當中或者自生系統內的各種證據。在Sleuth Kit及其它工具之上充當用戶界面方案的是Autopsy，這是一套數字化取證平臺。「Autopsy更側重於面向用戶，」Sleuth Kit與Autopsy締造者Brian Carrier指出。「The Sleuth Kit更像是一整套可以爲你們歸入自有工具的庫，只不過用戶無需對該訓加以直接使用。」 項目連接：https://github.com/sleuthkit/sleuthkit

十、OSSEC

基於主機的入侵檢測系統OSSEC可以實現日誌分析、文件完整性檢查、監控以及報警等功能，並且可以順利與各類常見操做系統相對接，包括Linux、Mac OS X、Solaris、AIX以及Windows。

OSSEC旨在幫助企業用戶知足合規性方面的各種要求，包括PCI與HIPAA，並且可以經過配置在其檢測到未經受權的文件系統修改或者嵌入至軟件 及定製應用日誌文件的惡意活動時發出警報。一臺中央管理服務器負責執行不一樣操做系統之間的策略管理任務。OSSEC項目由Trend Micro公司提供支持。項目連接：https://github.com/ossec/ossec-hids

十一、PassiveDNS

PassiveDNS可以以被動方式收集DNS記錄，從而實現事故處理輔助、網絡安全監控以及數字取證等功能。該軟件可以經過配置讀取pcap（即數據包捕捉）文件並將DNS數據輸出爲日誌文件或者提取來自特定接口的數據流量。

這款工具可以做用於IPv4與IPv6流量、在TCP與UDP基礎上實現流量解析並經過緩存內存內DNS數據副本的方式在限制記錄數據量的同時避免給取證工做帶來任何負面影響。項目連接：https://github.com/gamelinux/passivedns