開(kāi)發(fā)者須知的七種免費(fèi)安全工具

【51CTO.com快譯】不知您是否已注意到：如今的程序員們，已經(jīng)改變了過(guò)去在開(kāi)發(fā)過(guò)程中完全無(wú)視安全性的狀況。得益于SAST(Static Application Security Testing，靜態(tài)應(yīng)用安全測(cè)試)、DAST(Dynamic Application Security Testing，動(dòng)態(tài)應(yīng)用安全測(cè)試)、SCA(Service Component Analysis，軟件組成分析)等脆弱性管理工具，他們?cè)谘邪l(fā)的過(guò)程中，不斷地將安全性進(jìn)行“左移(shift-left)”。在為用戶創(chuàng)建各種軟件的同時(shí)，他們已能夠自覺(jué)地將應(yīng)用程序的安全性融入到了日常的編程環(huán)節(jié)之中。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)！專注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、小程序設(shè)計(jì)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了麥蓋提免費(fèi)建站歡迎大家使用！

近年來(lái)，隨著DevOps及其相關(guān)技術(shù)在各個(gè)領(lǐng)域，特別是軟件行業(yè)的落地與實(shí)踐，安全相關(guān)任務(wù)在程序開(kāi)發(fā)中的占比逐步增強(qiáng)。許多開(kāi)發(fā)人員都能夠在軟件開(kāi)發(fā)生命周期(SDL)的更早階段，自行發(fā)現(xiàn)和修復(fù)產(chǎn)品原型中的各類漏洞。最近，業(yè)界甚至有種觀點(diǎn)認(rèn)為：由于了解手頭代碼的內(nèi)部復(fù)雜性和具體內(nèi)容，許多開(kāi)發(fā)人員實(shí)際上比那些安全專業(yè)人員更適合處理應(yīng)用程序中潛在的安全相關(guān)問(wèn)題，而安全專業(yè)人員往往只能從經(jīng)驗(yàn)和外部功能上予以分析。

在敏捷和DevOps理念中，“安全左移”是指：在軟件開(kāi)發(fā)的整個(gè)生命周期中，將安全性盡可能地推向、并嵌入到左側(cè)的開(kāi)始環(huán)節(jié)，而不是到了進(jìn)程的最后，再去考慮安全性問(wèn)題。因此，這就要求每一位開(kāi)發(fā)人員通過(guò)使用恰當(dāng)?shù)墓ぞ?，?lái)關(guān)注和保證代碼的安全態(tài)勢(shì)。

鑒于上述特點(diǎn)，我在此為大家收集并羅列了七種免費(fèi)的安全工具，以便開(kāi)發(fā)人員能夠?qū)⑺鼈兪占{在自己的工具箱之中。

1. Burp Suite

參考鏈接：https://portswigger.net/burp/communitydownload

Burp Suite是一種基于Java的Web滲透測(cè)試框架。該框架自帶的各種工具能夠通過(guò)無(wú)縫的協(xié)作方式，來(lái)支持整個(gè)測(cè)試過(guò)程。Burp Suite能夠在應(yīng)用程序的攻擊面上進(jìn)行各種初始化的映射與分析，進(jìn)而發(fā)現(xiàn)那些可能被利用的安全漏洞。

同時(shí)，該工具能夠通過(guò)攔截HTTP/S的各種請(qǐng)求，來(lái)充當(dāng)用戶和網(wǎng)站之間的中間人角色。其付費(fèi)版本提供了一套更為靈活的自動(dòng)化測(cè)試工具，能夠與Jenkins等其他框架相集成。

2. ZED Attack Proxy(ZAP)

參考鏈接：https://www.zaproxy.org/

由OWASP(Open Web Application Security Project，開(kāi)放式Web應(yīng)用程序安全項(xiàng)目)開(kāi)發(fā)的ZAP(或稱Zed Attack Proxy)，是一款多平臺(tái)的Web應(yīng)用安全測(cè)試類工具。在開(kāi)發(fā)的過(guò)程中，ZAP可以被運(yùn)用到針對(duì)Web應(yīng)用的各種安全漏洞及測(cè)試階段中。由于具有直觀的GUI(Graphical User Interface，圖形用戶界面)，新用戶很容易上手并使用ZAP。同時(shí)，該安全測(cè)試工具也支持高級(jí)用戶使用命令行的方式進(jìn)行訪問(wèn)。除了作為漏洞掃描器被使用之外，ZAP還可以作為攔截代理，被用于手動(dòng)測(cè)試網(wǎng)頁(yè)的場(chǎng)景中。

3. ModSecurity

參考鏈接：https://www.modsecurity.org/download.html

ModSecurity是一款開(kāi)源的、基于Web的應(yīng)用級(jí)防火墻(或稱WAF)。它能夠支持諸如Apache、Nginx和IIS等不同的Web服務(wù)器。它能夠?qū)eb應(yīng)用提供一系列針對(duì)各類攻擊的保護(hù)，并允許用戶進(jìn)行HTTP流量監(jiān)控、日志記錄和實(shí)時(shí)分析。

ModSecurity通常是與開(kāi)源Web服務(wù)器--Apache一起被安裝的。它能夠防御多種基于Web的攻擊，包括代碼注入和暴力攻擊等。同時(shí)，ModSecurity可以通過(guò)靈活的規(guī)則引擎，來(lái)執(zhí)行各種簡(jiǎn)繁不等的安全操作。另外，它還自帶有一個(gè)包含了：跨站腳本、惡意用戶代理、SQL注入、木馬、會(huì)話劫持、以及其他類型漏洞的核心規(guī)則集(Core Rule Set，CRS)。

4. WhiteSource Bolt

參考鏈接：https://bolt.whitesourcesoftware.com/

用戶可以從GitHub和微軟Azure的DevOps/TFS處獲取WhiteSource Bolt。如果開(kāi)發(fā)人員能夠在編寫(xiě)代碼的早期階段使用該工具的話，他們就能夠更早地獲取重要的安全警報(bào)，以開(kāi)發(fā)出更加安全的開(kāi)源組件。

根據(jù)那些在GitHub中自動(dòng)生成的安全警報(bào)，用戶可以查看諸如CVE(Common Vulnerabilities & Exposures，公共漏洞和暴露)的參考、CVSS(Common Vulnerability Scoring System，通用漏洞評(píng)估方法)的評(píng)級(jí)、以及相關(guān)的修復(fù)建議和重要細(xì)節(jié)。同時(shí)，該工具可以為用戶提供在規(guī)劃補(bǔ)救方案時(shí)所需的其他相關(guān)信息，甚至還支持以“里程碑”的方式將發(fā)現(xiàn)的漏洞分配給其他團(tuán)隊(duì)的成員。

5. LGTM

參考鏈接：https://github.com/apps/lgtm-com

LGTM是一個(gè)能夠通過(guò)自動(dòng)檢查用戶代碼，以獲得確有CVE相關(guān)漏洞的變種分析平臺(tái)。通過(guò)將深層次的語(yǔ)義代碼搜索、與數(shù)據(jù)科學(xué)的洞悉相結(jié)合，LGTM能夠以查詢結(jié)果相關(guān)度排名的方式，僅顯示出那些重要的警報(bào)信息。另外，LGTM還可以提供各種來(lái)自大型社區(qū)的、那些頂級(jí)安全研究人員的經(jīng)驗(yàn)分析。這些都有助于開(kāi)發(fā)人員交付出安全的程序代碼。

6. Find Security Bugs

參考鏈接：https://find-sec-bugs.github.io/

FSB是FunBugs靜態(tài)代碼分析工具的一個(gè)免費(fèi)插件。其特長(zhǎng)是能夠通過(guò)檢索Bug的特征模型，來(lái)查找代碼中的安全問(wèn)題。它可以被用來(lái)掃描Java Web應(yīng)用、Android應(yīng)用、以及Scala與Groovy等應(yīng)用程序。由于它是從字節(jié)碼級(jí)別進(jìn)行分析的，因此它并不對(duì)源代碼進(jìn)行強(qiáng)制性的分析。FSB可以被集成到諸如IntelliJ、Eclipse和Android Studio等大多數(shù)Java IDE(Integrated Development Environment，集成開(kāi)發(fā)環(huán)境)之中，并能夠提供諸如Jenkins或SonarQube之類的連續(xù)性集成。

7. Skipfish

參考鏈接：https://tools.kali.org/web-applications/skipfish

作為一款Web應(yīng)用的安全工具，Skipfish能夠通過(guò)“爬取”用戶的網(wǎng)站，以檢索出每個(gè)頁(yè)面上潛在的各類安全威脅，進(jìn)而提供最終的安全報(bào)告。同時(shí)，它能夠最優(yōu)化HTTP的處理，并最小化CPU的占有。

通過(guò)執(zhí)行遞歸式的爬取和基于字典式的探測(cè)，Skipfish能夠?yàn)橛脩籼峁┽槍?duì)目標(biāo)網(wǎng)站的交互式站點(diǎn)地圖。這些地圖都帶有主動(dòng)式安全檢查的結(jié)果標(biāo)注。因此，由該工具所生成的最終報(bào)告，可以作為專業(yè)評(píng)估Web應(yīng)用安全性的基礎(chǔ)性依據(jù)。

安全性最佳實(shí)踐的重要性

隨著各類企業(yè)對(duì)于軟件產(chǎn)品安全性的持續(xù)關(guān)注，我們的研發(fā)團(tuán)隊(duì)?wèi)?yīng)當(dāng)在整個(gè)SDLC中，將恰當(dāng)?shù)墓芸毓ぞ吲c各種優(yōu)秀的實(shí)踐相結(jié)合，通過(guò)不斷的迭代與改進(jìn)，進(jìn)而保障各類Web應(yīng)用的安全態(tài)勢(shì)。

原文標(biāo)題：7 Free Security Tools That All Developers Will Want in Their Toolbox，作者：Zev Brodsky

文章題目：開(kāi)發(fā)者須知的七種免費(fèi)安全工具
文章源于：http://muchs.cn/article48/dpiep.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供Google、網(wǎng)站制作、自適應(yīng)網(wǎng)站、微信小程序、ChatGPT、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)