10款免费工具:敏捷开发运维(DevOps)的好帮手
讓開發(fā)人員全心全意投入應(yīng)用安全(APPSEC)的關(guān)鍵方法之一,就是清除掉將安全過(guò)程嵌入日常工作流時(shí)遇到的諸多麻煩。DevSecOps取得成功的一大因素,在于公司有能力實(shí)現(xiàn)開發(fā)人員不會(huì)痛恨的安全工具。
為此,公司企業(yè)需改善安全測(cè)試工具包與開發(fā)人員所用其他軟件開發(fā)工具之間的集成。值得慶幸的是,這種集成還沒(méi)到需要搶銀行的燒錢程度。雖然也不是完全零花費(fèi),但確實(shí)大多數(shù)能良好集成進(jìn)持續(xù)工作流的DevOps友好安全工具往往是免費(fèi)的。
下面就列出其中幾個(gè)最具前景的DevOps友好免費(fèi)工具。
1. OWASP Zed Attack Proxy (ZAP)
由推出行業(yè)標(biāo)準(zhǔn)基準(zhǔn) OWASP 10大漏洞列表的同一組織領(lǐng)導(dǎo),OWASP ZAP 賦予開發(fā)人員免費(fèi)自動(dòng)化安全掃描的能力。ZAP已被很多企業(yè)采納,其蘊(yùn)含的一大DevOps優(yōu)勢(shì),是擁有一款評(píng)價(jià)很好的,能幫開發(fā)團(tuán)隊(duì)無(wú)縫融合進(jìn)DevOps工具鏈的Jenkins插件。
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
2. Gauntlt
作為專門為嵌入持續(xù)集成(CI)流水線而生的安全測(cè)試框架,Gauntlt在開發(fā)界和安全界都有大批擁躉。它之所以如此受歡迎,是因?yàn)槟茏孌evOps團(tuán)隊(duì)自動(dòng)化測(cè)試所用Cucumber框架中許多現(xiàn)有安全工具發(fā)揮作用。
http://gauntlt.org
3. BDD-Security
BDD-Security提供了安全驗(yàn)收測(cè)試框架的額外選擇。該工具采用“行為驅(qū)動(dòng)開發(fā)”的概念幫助團(tuán)隊(duì)設(shè)立并自動(dòng)測(cè)試其安全規(guī)范,且同樣基于Cucumber測(cè)試框架。BDD-Security 預(yù)置支持 Selenium/WebDriver、OWASP ZAP、SSLyz和Nessus,是一款無(wú)需訪問(wèn)目標(biāo)源代碼即可工作的外部掃描器。
https://github.com/continuumsecurity/bdd-security
4. Git-Hound
如果缺乏足夠的過(guò)程或工具幫助開發(fā)人員約束敏感數(shù)據(jù),DevOps往GitHub上倉(cāng)促提交代碼的行為無(wú)疑會(huì)引入很多風(fēng)險(xiǎn)。最近兩年我們見(jiàn)證了數(shù)起相當(dāng)引人注目的GitHub代碼倉(cāng)庫(kù)敏感數(shù)據(jù)泄露事件,都是因?yàn)樗尚傅陌踩珜?shí)踐引起的。比如2016年的Uber數(shù)據(jù)泄露事件。Git-Hound是一款旨在減少此類敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)的免費(fèi)安全工具,可以提供對(duì)敏感數(shù)據(jù)提交的自動(dòng)檢查,避免敏感數(shù)據(jù)被提交到代碼倉(cāng)庫(kù)中。
https://github.com/ezekg/git-hound
5. Brakeman
Brakeman是一款開源靜態(tài)代碼分析工具,有著成熟而活躍的社區(qū)支持,能夠捕獲 Ruby on Rails 應(yīng)用中的安全漏洞。自2013年首度進(jìn)入人們視線以來(lái),Brakeman發(fā)展一直很好,最近更是打破了1100萬(wàn)下載大關(guān)。
https://brakemanscanner.org
6. FindSecurityBugs
與Brakeman類似,FindSecurityBugs也是一款免費(fèi)靜態(tài)代碼分析攻擊,只不過(guò)分析目標(biāo)主要集中在Java應(yīng)用程序上。它能嵌入集成開發(fā)環(huán)境(IDE),有適用于Jenkins、Eclipse和Maven等多種平臺(tái)的有用插件。
https://find-sec-bugs.github.io
7. Archery
Archery今年早些時(shí)候才在黑帽亞洲的武器庫(kù)上亮相,是本列表中相對(duì)較年輕的一員,但絕對(duì)有實(shí)力脫穎而出。這是一款開源漏洞評(píng)估及管理工具,用Selenium執(zhí)行動(dòng)態(tài)身份驗(yàn)證掃描。Archery的 REST API 能讓開發(fā)人員方便地將之融入DevOps工具集,應(yīng)會(huì)受到開發(fā)人員的廣泛歡迎。
https://github.com/toolswatch/blackhat-arsenaltools/blob/master/vulnerability_assessment/archery.md
8. CIS Kubernetes 標(biāo)準(zhǔn)檢查程序
DevOps團(tuán)隊(duì)紛紛投入Kubernets的懷抱以有效編配其容器化的工作負(fù)載。Kubernetes為容器化應(yīng)用部署提供了強(qiáng)有力的可擴(kuò)展工具,但正如任何強(qiáng)力可擴(kuò)展工具所需的,它也要求有一些重要的安全實(shí)踐以確保過(guò)程中的風(fēng)險(xiǎn)被控制在最小。幸運(yùn)的是,互聯(lián)網(wǎng)安全中心(CIS)發(fā)展出了一整套強(qiáng)化Kubernetes實(shí)現(xiàn)的建議。該工具提供一套很有價(jià)值的自動(dòng)化腳本,可幫助公司企業(yè)遵從那些標(biāo)準(zhǔn)。
https://github.com/neuvector/kubernetes-cis-benchmark
9. Cloudsploit
說(shuō)到企業(yè)AWS安全,最近兩年的尷尬事還真不少。為了更快推送代碼,很多軟件公司在開發(fā)環(huán)境安全保護(hù)方面可謂十分松懈,也由此導(dǎo)致了數(shù)起引人注目的數(shù)據(jù)泄露事件。Cloudsploit幫助DevOps團(tuán)隊(duì)掃描其AWS實(shí)例,查找能直接導(dǎo)致此類數(shù)據(jù)曝光的各種配置錯(cuò)誤和其他安全風(fēng)險(xiǎn)。
https://github.com/cloudsploit/scans
10. InSpec
InsSpec由基礎(chǔ)設(shè)施即代碼提供商Chef主導(dǎo),提供將合規(guī)、安全和策略要求融入到基礎(chǔ)設(shè)施即代碼思想中的工具。該開源項(xiàng)目促進(jìn)了將策略轉(zhuǎn)變?yōu)槿祟惡蜋C(jī)器可讀的語(yǔ)言。這是一個(gè)平臺(tái)無(wú)關(guān)的項(xiàng)目,不單單是Chef可用,Puppet環(huán)境也能用,Docker、Azure、AWS等其他平臺(tái)和系統(tǒng)中同樣表現(xiàn)良好。
https://www.inspec.io
原文發(fā)布時(shí)間為:2018-06-2
本文作者:nana
本文來(lái)自云棲社區(qū)合作伙伴“安全牛”,了解相關(guān)信息可以關(guān)注“安全牛”。
與50位技術(shù)專家面對(duì)面20年技術(shù)見(jiàn)證,附贈(zèng)技術(shù)全景圖總結(jié)
以上是生活随笔為你收集整理的10款免费工具:敏捷开发运维(DevOps)的好帮手的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Docker 镜像之存储管理
- 下一篇: 130.ssm项目中添加日志 log4j