10款免費工具:敏捷開發運維(DevOps)的好幫手

時間  2019-12-10
標籤 免費 工具 敏捷 發運 devops 好幫手 简体版
原文   原文鏈接

讓開發人員全心全意投入應用安全(APPSEC)的關鍵方法之一,就是清除掉將安全過程嵌入平常工做流時遇到的諸多麻煩。DevSecOps取得成功的一大因素,在於公司有能力實現開發人員不會痛恨的安全工具。php

802c100eb2d0db42ab8a2e54eaa341a262de8134

爲此,公司企業需改善安全測試工具包與開發人員所用其餘軟件開發工具之間的集成。值得慶幸的是,這種集成還沒到須要搶銀行的燒錢程度。雖然也不是徹底零花費,但確實大多數能良好集成進持續工做流的DevOps友好安全工具每每是免費的。git

下面就列出其中幾個最具前景的DevOps友好免費工具。github

1. OWASP Zed Attack Proxy (ZAP)安全

由推出行業標準基準 OWASP 10大漏洞列表的同一組織領導,OWASP ZAP 賦予開發人員免費自動化安全掃描的能力。ZAP已被不少企業採納,其蘊含的一大DevOps優點,是擁有一款評價很好的,能幫開發團隊無縫融合進DevOps工具鏈的Jenkins插件。框架

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project工具

2. Gauntlt開發工具

做爲專門爲嵌入持續集成(CI)流水線而生的安全測試框架,Gauntlt在開發界和安全界都有大批擁躉。它之因此如此受歡迎,是由於能讓DevOps團隊自動化測試所用Cucumber框架中許多現有安全工具發揮做用。測試

http://gauntlt.org插件

3. BDD-Securityblog

BDD-Security提供了安全驗收測試框架的額外選擇。該工具採用「行爲驅動開發」的概念幫助團隊設立並自動測試其安全規範,且一樣基於Cucumber測試框架。BDD-Security 預置支持 Selenium/WebDriver、OWASP ZAP、SSLyz和Nessus,是一款無需訪問目標源代碼便可工做的外部掃描器。

https://github.com/continuumsecurity/bdd-security

4. Git-Hound

若是缺少足夠的過程或工具幫助開發人員約束敏感數據,DevOps往GitHub上倉促提交代碼的行爲無疑會引入不少風險。最近兩年咱們見證了數起至關引人注目的GitHub代碼倉庫敏感數據泄露事件,都是由於鬆懈的安全實踐引發的。好比2016年的Uber數據泄露事件。Git-Hound是一款旨在減小此類敏感數據泄露風險的免費安全工具,能夠提供對敏感數據提交的自動檢查,避免敏感數據被提交到代碼倉庫中。

https://github.com/ezekg/git-hound

5. Brakeman

Brakeman是一款開源靜態代碼分析工具,有着成熟而活躍的社區支持,可以捕獲 Ruby on Rails 應用中的安全漏洞。自2013年首度進入人們視線以來,Brakeman發展一直很好,最近更是打破了1100萬下載大關。

https://brakemanscanner.org

6. FindSecurityBugs

與Brakeman相似,FindSecurityBugs也是一款免費靜態代碼分析攻擊,只不過度析目標主要集中在Java應用程序上。它能嵌入集成開發環境(IDE),有適用於Jenkins、Eclipse和Maven等多種平臺的有用插件。

https://find-sec-bugs.github.io

7. Archery

Archery今年早些時候纔在黑帽亞洲的武器庫上亮相,是本列表中相對較年輕的一員,但絕對有實力脫穎而出。這是一款開源漏洞評估及管理工具,用Selenium執行動態身份驗證掃描。Archery的 REST API 能讓開發人員方便地將之融入DevOps工具集,應會受到開發人員的普遍歡迎。

https://github.com/toolswatch/blackhat-arsenaltools/blob/master/vulnerability_assessment/archery.md

8. CIS Kubernetes 標準檢查程序

DevOps團隊紛紛投入Kubernets的懷抱以有效編配其容器化的工做負載。Kubernetes爲容器化應用部署提供了強有力的可擴展工具,但正如任何強力可擴展工具所需的,它也要求有一些重要的安全實踐以確保過程當中的風險被控制在最小。幸運的是,互聯網安全中心(CIS)發展出了一整套強化Kubernetes實現的建議。該工具提供一套頗有價值的自動化腳本,可幫助公司企業聽從那些標準。

https://github.com/neuvector/kubernetes-cis-benchmark

9. Cloudsploit

說到企業AWS安全,最近兩年的尷尬事還真很多。爲了更快推送代碼,不少軟件公司在開發環境安全保護方面可謂十分鬆懈,也由此致使了數起引人注目的數據泄露事件。Cloudsploit幫助DevOps團隊掃描其AWS實例,查找能直接致使此類數據曝光的各類配置錯誤和其餘安全風險。

https://github.com/cloudsploit/scans

10. InSpec

InsSpec由基礎設施即代碼提供商Chef主導,提供將合規、安全和策略要求融入到基礎設施即代碼思想中的工具。該開源項目促進了將策略轉變爲人類和機器可讀的語言。這是一個平臺無關的項目,不僅僅是Chef可用,Puppet環境也能用,Docker、Azure、AWS等其餘平臺和系統中一樣表現良好。

https://www.inspec.io

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程