2021-02-17 分類: 網(wǎng)站建設(shè)
將安全融入開發(fā)過程,更早捕獲并修復(fù)應(yīng)用漏洞,你需要這五類共28款DevSecOps工具。
DevSecOps工具
DevSecOps是將安全集成到整個應(yīng)用開發(fā)周期的過程,是從內(nèi)到外強(qiáng)化應(yīng)用,使其能夠抵御各種潛在威脅的理想方式。因為很多公司企業(yè)不斷開發(fā)應(yīng)用以滿足客戶和商業(yè)合作伙伴的需求,DevSecOps的吸引力也與日俱增。
敏捷開發(fā)方法與DevOps操作幫助公司企業(yè)達(dá)成持續(xù)開發(fā)的目標(biāo)。云原生應(yīng)用架構(gòu)也成為了DevSecOps運(yùn)動的有力貢獻(xiàn)者,推動采用公共云提供商、容器技術(shù)和容器平臺為應(yīng)用提供計算能力。DevSecOps將安全過程與工具集成進(jìn)工作流并加以自動化,擺脫了傳統(tǒng)方法按時間點進(jìn)行的潛在干擾,是個無縫且持續(xù)的過程。
咨詢公司 Data Bridge Market Research 稱,鑒于網(wǎng)絡(luò)安全威脅數(shù)量與危害性的持續(xù)上升,全球DevSecOps市場預(yù)計將從2018年的14.7億美元增長至2026年的136.3億美元。
市場繁榮之下,DevSecOps工具必將呈現(xiàn)百花齊放百家爭鳴的局面。下面就按核心門類為您呈上多款優(yōu)秀DevSecOps工具。
警報:向開發(fā)人員通報異常
開發(fā)應(yīng)用的時候很容易忽略掉安全漏洞。下面的工具為開發(fā)人員提供了潛在安全異常及缺陷的警報功能,可供開發(fā)人員及時調(diào)查并修復(fù)這些漏洞,不至于走得太遠(yuǎn)回不了頭。有些工具專用于警報功能,比如開源的Alerta 。其他工具則兼具測試等別的功能,比如 Contrast Assess。
1. Alerta
(https://alerta.io/)
該開源工具可將多個來源的信息整合去重,提供快速可視化功能。Alerta與Prometheus、Riemann、Nagios、Cloudwatch及其他監(jiān)視/管理服務(wù)集成,開發(fā)人員可通過API按需定制Alerta。
2. Contrast Assess
(https://www.contrastsecurity.com/interactive-application-security-testing-iast)
作為一款互動應(yīng)用安全測試(IAST)工具,Contrast Assess 與用戶應(yīng)用集成,在后臺持續(xù)監(jiān)視代碼,并在發(fā)現(xiàn)安全漏洞時發(fā)出警報。據(jù)稱即便是非安全開發(fā)人員也可使用 Contrast Assess 自行識別并修復(fù)漏洞。
3. Contrast Protect
(https://www.contrastsecurity.com/runtime-application-self-protection-rasp)
該運(yùn)行時應(yīng)用自保護(hù)(RASP)工具采用了 Contrast Assess 同款嵌入式代理。Contrast Protect 在生產(chǎn)環(huán)境中查找漏洞利用程序和未知威脅,并將結(jié)果提交給安全信息及事件管理(SIEM)控制臺、防火墻或其他安全工具。
4. ElastAlert
(https://elastalert.readthedocs.io/en/latest/)
ElastAlert提供近實時接收警報的框架,可接收來自Elasticsearch數(shù)據(jù)的安全異常、流量激增及其他模式。ElastAlert查詢Elasticsearch并根據(jù)一系列規(guī)則比較這些數(shù)據(jù)。一旦出現(xiàn)匹配,ElastAlert便發(fā)出警報并隨附建議動作。
自動化:發(fā)現(xiàn)并修復(fù)缺陷
大多數(shù)DevSecOps工具都提供一定程度的自動化。此類工具自動掃描、發(fā)現(xiàn)并修復(fù)安全缺陷,只是自動化程度各有不同,從條件式事件驅(qū)動的自動化到運(yùn)用深度學(xué)習(xí)技術(shù)的自動化都有。
1. CodeAI
(http://www.qbitlogic.com/codeai/)
旨在通過深度學(xué)習(xí)技術(shù)自動查找并修復(fù)源代碼中的安全漏洞,號稱可為開發(fā)人員提供可供參考的解決方案列表,而不僅僅是安全問題列表。其供應(yīng)商QbitLogic宣稱,已為CodeAI饋送了數(shù)百萬個現(xiàn)實世界漏洞修復(fù)樣本供訓(xùn)練。
2. Parasoft tool suite
(https://www.parasoft.com/)
Parasoft提供包括應(yīng)用開發(fā)安全測試在內(nèi)的多種自動化工具:
1)Parasoft C/C++test
(https://www.parasoft.com/products/ctest)
用于開發(fā)過程早期缺陷識別;
2)Parasoft Insure++
(https://www.parasoft.com/products/insure)
可以查找不規(guī)范編程及內(nèi)存訪問錯誤;
3)Parasoft Jtest
(https://www.parasoft.com/products/jtest)
用于Java軟件開發(fā)測試;
4) Parasoft dotTEST
(https://www.parasoft.com/products/jtest)
以深度靜態(tài)分析和高級覆蓋作為 Visual Studio 工具的補(bǔ)充。
3. Red Hat Ansible Automation
(https://www.redhat.com/en/technologies/management/ansible)
該工具包含三個模塊——Ansible Tower、Ansible Engine 和 Red Hat Ansible Network Automation,可作為無代理IT自動化技術(shù)單獨(dú)或聯(lián)合使用。盡管不是專門的安全工具,Ansible Automation 卻可供用戶定義規(guī)則以確定自身軟件開發(fā)項目中哪些部分是安全的。
4. StackStorm
(https://stackstorm.com):
該開源工具號稱“可進(jìn)行條件式運(yùn)營”,其事件驅(qū)動的自動化能在檢測到安全漏洞時提供腳本化的修復(fù)與響應(yīng),并附有持續(xù)部署、ChatOps優(yōu)化等功能。
5. Veracode
(https://www.veracode.com/devsecops):
該公司提供DevSecOps環(huán)境中廣泛使用的一系列自動化安全工具,包括在代碼編寫時即時自動掃描的Greenlight;在沙箱中掃描代碼漏洞的 Developer Sandbox;識別漏洞組件的 Software Composition Analysis (SCA);以及識別應(yīng)用缺陷的 Static Analysis。
儀表板:開發(fā)過程可見性
專用DevSecOps儀表板工具可使用戶在同一圖形界面中查看并共享從開發(fā)伊始到運(yùn)營過程中的安全信息。有些DevSecOps應(yīng)用,比如ThreatModeler和Parasoft已自帶儀表板。
1. Grafana
(https://grafana.com/)
該開源分析平臺允許用戶創(chuàng)建自定義儀表板,聚合所有相關(guān)數(shù)據(jù)以可視化及查詢安全數(shù)據(jù)。如果不想自行構(gòu)建,還可以在其網(wǎng)站上選用社區(qū)構(gòu)建的儀表板。
2. Kibana
(https://www.elastic.co/products/kibana)
如果你使用Elasticsearch,該開源工具可在統(tǒng)一圖形界面中集成成千上萬的日志條目,包括運(yùn)營數(shù)據(jù)、時間序列分析、應(yīng)用監(jiān)視等等。
威脅建模:識別并排序應(yīng)用風(fēng)險
威脅建模DevSecOps工具用以在復(fù)雜的攻擊界面中識別、預(yù)測并定義威脅,以便用戶可以做出主動安全決策。有些工具可根據(jù)用戶提供的系統(tǒng)及應(yīng)用信息自動構(gòu)建威脅模型,并提供可視化界面以幫助安全及非安全人員探索威脅及其潛在影響。
1. IriusRisk
(https://continuumsecurity.net/threat-modeling-tool/)
出自 Continuum Security 的解決方案,既可云部署,也可現(xiàn)場部署,能以基于問卷的界面自動化風(fēng)險及需求分析,并設(shè)計出威脅模型和技術(shù)性安全要求。IriusRisk還可幫助用戶管理代碼構(gòu)建及安全測試階段。
2. ThreatModeler
(https://threatmodeler.com/)
該自動化威脅建模系統(tǒng)有兩個版本:AppSec版和云版。在提供了用戶應(yīng)用或系統(tǒng)的功能性信息后,ThreatModeler會基于更新的威脅情報自動就整個攻擊界面進(jìn)行數(shù)據(jù)分析和潛在威脅識別。
3. OWASP Threat Dragon
(https://www.owasp.org/index.php/OWASP_Threat_Dragon)
一款基于Web的開源工具,提供系統(tǒng)圖解和用于自動化威脅建模與緩解的規(guī)則引擎。Threat Dragon 承諾可與其他軟件開發(fā)生命周期(SDLC)工具無縫集成,且界面易于使用。
測試:在上線前查找安全漏洞
在開發(fā)過程中測試應(yīng)用以找出潛在漏洞是DevSecOps的關(guān)鍵部分,能夠事先發(fā)現(xiàn)安全漏洞,避免漏洞被黑客利用。盡管其他工具往往包含了測試功能,比如Parasoft出品的那些,下列工具仍然在應(yīng)用安全測試上表現(xiàn)強(qiáng)勁。
1. BDD-Security
(https://continuumsecurity.net/bdd-security/)
該出自 Continuum Security 的開源框架可使安全人員在敏捷開發(fā)過程中測試行為驅(qū)動開發(fā)(BDD)語言編寫的功能及非功能性安全場景。此BDD框架旨在使安全功能獨(dú)立于應(yīng)用特定的導(dǎo)航邏輯,讓同樣的安全要求能夠更容易地應(yīng)用到多個應(yīng)用程序上。
2. Checkmarx CxSAST
(https://www.checkmarx.com/products/static-application-security-testing/)
可對25種編程及腳本語言進(jìn)行未編譯/未構(gòu)建源代碼掃描的靜態(tài)應(yīng)用安全測試(SAST)工具,能在SDLC早期發(fā)現(xiàn)成百上千種安全漏洞。CxSAST兼容所有集成開發(fā)環(huán)境(IDE),是Checkmarx軟件暴露平臺的一部分——該平臺可在DevOps所有階段植入安全。Checkmarx的交互式應(yīng)用安全測試(IAST)工具可檢測運(yùn)行中應(yīng)用的安全漏洞。
3. Chef InSpec
(https://github.com/inspec/inspec)
整個開發(fā)過程中的每一階段都可以運(yùn)用該開源工具自動化安全測試以確保針對傳統(tǒng)服務(wù)器及容器和云API的合規(guī)、安全及其他政策要求。
4. Fortify
(https://www.microfocus.com/en-us/solutions/application-security)
Micro Focus 出品,提供端到端應(yīng)用安全,可供進(jìn)行覆蓋整個軟件開發(fā)生命周期的現(xiàn)場及按需測試。Fortify on Demand 是 Micro Focus 的應(yīng)用安全即服務(wù)產(chǎn)品,提供靜態(tài)、動態(tài)和移動應(yīng)用安全測試,以及生產(chǎn)環(huán)境中Web應(yīng)用的持續(xù)監(jiān)視。
5. Gauntlt
(http://gauntlt.org/)
流行測試框架,旨在推動易操作的安全測試及安全、開發(fā)和運(yùn)營團(tuán)隊間的溝通。GauntIt便于產(chǎn)生攻擊測試用例,且能方便地鉤入現(xiàn)有工具及進(jìn)程。
6. Synopsys suite
(https://www.synopsys.com/)
Synopsys提供多個應(yīng)用安全測試工具,包括:
1)SAST工具Coverity
(https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast.html)
自動化測試且融入持續(xù)集成/持續(xù)交付(CI/CD)管道;
2)SCA工具 Black Duck
(https://www.synopsys.com/software-integrity/security-testing/software-composition-analysis.html)
采用容器及應(yīng)用中的開源和第三方代碼檢測并管理安全;
3)SeekerIAST
(https://www.synopsys.com/software-integrity/security-testing/interactive-application-security-testing.html)
識別可暴露敏感數(shù)據(jù)的運(yùn)行時安全漏洞;
以及一系列用于應(yīng)用安全測試的托管服務(wù)。
其他值得考慮的DevSecOps工具
以下DevSecOps工具同樣含有上述工具提供的功能,但或多或少略有不同。
1. Aqua Security
(https://www.aquasec.com/)
在整個CI/CD管道和運(yùn)行時環(huán)境中管理端到端安全,可用于所有平臺和云環(huán)境的容器及云原生應(yīng)用。
2. Dome9 Arc
(https://www.checkpoint.com/solutions/devops-security/)
被 Check Point 收購,提供自動化測試及安全實施,使開發(fā)人員能夠?qū)踩昂弦?guī)融入公共云應(yīng)用的構(gòu)建、部署及運(yùn)營。
3. GitLab
(https://about.gitlab.com/)
該工具可將DevSecOps架構(gòu)融入CI/CD過程,在提交時測試每一塊代碼,使開發(fā)人員能夠在編程期間緩解安全漏洞,并提供涵蓋所有漏洞的儀表板。
4. Red Hat OpenShift
(https://www.redhat.com/en/technologies/cloud-computing/openshift)
為基于容器的應(yīng)用提供內(nèi)置安全,比如基于角色的訪問控制、以安全增強(qiáng)的Linux(SELinux)實現(xiàn)隔離,以及貫穿整個容器構(gòu)建過程的核查。
5. RedLock
(https://www.paloaltonetworks.com/products/secure-the-cloud/redlock/cloud-security-governance)(前身為Evident.io)
Palo Alto Networks 出品,適用于部署階段,幫助開發(fā)人員快速發(fā)現(xiàn)并緩解資源配置、網(wǎng)絡(luò)架構(gòu)及用戶活動中的安全威脅,尤其是在亞馬遜S3存儲桶和彈性塊存儲(EBS)卷上。
6. SD Elements
(https://www.securitycompass.com/sdelements/)
出品自 Security Compass 的自動化平臺,旨在收集客戶軟件信息,發(fā)現(xiàn)威脅及對策,突出相關(guān)安全控制措施以幫助公司企業(yè)實現(xiàn)其安全和合規(guī)目標(biāo)。
7. WhiteHat Sentinel 應(yīng)用安全平臺
(https://www.whitehatsec.com/products/solutions/devsecops/)
該解決方案提供貫穿整個SDLC的應(yīng)用安全,適用于需將安全集成進(jìn)工具中的敏捷開發(fā)團(tuán)隊,以及需持續(xù)測試以保證生產(chǎn)環(huán)境應(yīng)用安全的安全團(tuán)隊。
8. WhiteSource
(https://www.whitesourcesoftware.com/)
用于解決開源漏洞,可集成進(jìn)用戶的生成過程,無論用戶采用什么編程語言、生成工具或開發(fā)環(huán)境。WhiteSource使用經(jīng)常更新的開源代碼數(shù)據(jù)庫持續(xù)檢查開源組件的安全及授權(quán)。
網(wǎng)頁名稱:28款DevSecOps工具助力安全開發(fā)
鏈接分享:http://muchs.cn/news9/101509.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站收錄、網(wǎng)站制作、網(wǎng)站內(nèi)鏈、軟件開發(fā)、網(wǎng)站排名、靜態(tài)網(wǎng)站
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容