千锋教育-做有情怀、有良心、有品质的职业教育机构

手机站
千锋教育

千锋学习站 | 随时随地免费学

千锋教育

扫一扫进入千锋手机站

领取全套视频
千锋教育

关注千锋学习站小程序
随时随地免费学习课程

当前位置:首页  >  技术干货  > DevSecOps的三大开源工具集

DevSecOps的三大开源工具集

来源:千锋教育
发布人:wjy
时间: 2022-09-29 11:20:08 1664421608

  现代软件开发是一个高度复杂的工程,而软件开发的敏捷化(DevOps)则给其安全控制带来了全新挑战。随着安全威胁的不断增长,开发者必须将安全控制融合到软件开发的整个生命周期中(DevSecOps),将安全测试工具与研发流程整合,在软件发布、部署之前,投入生产之后针对漏洞进行大量严格测试。

  为了加快软件安全的测试过程,匹配安全与敏捷需求,企业安全团队也应该遵循DevSecOps敏捷安全思维模式,实践DevOps安全持续生命周期方法,通过自动化工具大大简化代码安全测试。

  以下,我们将简要介绍三种主要的DevSecOps测试方法(SAST、DAST和SCA)及其开源(含免费)工具。

  静态应用安全测试(SAST)

  静态应用程序安全测试(SAST)通常在编码阶段分析软件源代码或二进制文件的语法、结构、过程、接口中存在的安全漏洞,是公司在软件开发生命周期的早期阶段进行的一种白盒安全测试。SAST通常会在不同的时间间隔或需要添加或更改代码库时重新运行。

  作为DevSecOps产品,为自动化量身定制的SAST工具会逐行筛查代码以识别已知漏洞和薄弱环节。

  自动化SAST工具的主要缺点之一是误报,而且该工具的智能化程度不足以分析处于早期阶段且无法编译的代码。通过人工智能技术可以大大减少SAST工具的误报事件。

  OWASP发布了开源、免费和商业SAST工具的列表,以下是可以添加到集成开发环境中的流行开源SAST工具:

  Bandit

  Flawfinder

  GitHub Advanced Security

  OWASP Automated Software Security Toolkit

DevSecOps的三大开源工具集

  动态应用安全测试(DAST)

  SAST从内部查看源代码,而动态应用程序安全测试(DAST)则从外部分析软件的安全性。作为一种黑盒安全测试工具,DAST可识别整个企业基础架构中的网络、系统和操作系统漏洞。

  DAST通常在测试或运行阶段分析应用软件的动态运行状态,要求应用程序完全编译和运行,因此DAST测试通常在生产之前的测试/开发环境中运行,自动启动多个爬取活动和相关的渗透测试以检测漏洞。DAST降低了将有安全漏洞的软件交到业务用户手中的风险。

  DAST的主要缺点是测试难以覆盖整个攻击面,从而导致一些漏洞被遗漏。

  OWASP推荐了一系列开源和商业DAST工具。其中流行的开源工具如下:

  Deepfence ThreatMapper

  Nikto

  OpenVAS

  OWASP Zed Attack Proxy

  软件成分分析(SCA)

  软件成分分析(SCA)技术用于检测软件中的开源组件是否带有已知的安全漏洞或功能漏洞,或需要恰当授权许可的商业软件或第三方产品。

  随着软件供应链安全威胁的不断增长,软件成分分析(SCA)的重要性正不断提升,对于部分或者全部依赖开源软件的开发项目,SCA工具可用于自动识别整个容器映像、打包的二进制文件和源代码中的漏洞。SCA工具对于识别和管理软件许可,以及实现最佳代码集成也很有用。

  SCA工具提供了一种可靠的方法来及时自动识别漏洞和利用。SCA工具可扫描一个或多个相关数据库中的管理器、文件和图像,从中查找已知漏洞,可快速识别开源软件和可重用代码中的安全问题。越来越多的企业意识到,需要使用软件物料清单(SBOM)来跟踪代码并帮助防止可见性问题。

  G2列出了许多提供免费试用版的SCA工具,其中包括:

  GitLab

  ThreatWorx

  JFrog Xray

tags:
声明:本站稿件版权均属千锋教育所有,未经许可不得擅自转载。
10年以上业内强师集结,手把手带你蜕变精英
请您保持通讯畅通,专属学习老师24小时内将与您1V1沟通
免费领取
今日已有369人领取成功
刘同学 138****2860 刚刚成功领取
王同学 131****2015 刚刚成功领取
张同学 133****4652 刚刚成功领取
李同学 135****8607 刚刚成功领取
杨同学 132****5667 刚刚成功领取
岳同学 134****6652 刚刚成功领取
梁同学 157****2950 刚刚成功领取
刘同学 189****1015 刚刚成功领取
张同学 155****4678 刚刚成功领取
邹同学 139****2907 刚刚成功领取
董同学 138****2867 刚刚成功领取
周同学 136****3602 刚刚成功领取
相关推荐HOT