10款免費工具：敏捷開發(fā)運維(DevOps)的好幫手

來源：湖北國菱編輯部 時間：2018-06-05

1.OWASP Zed Attack Proxy (ZAP)

有開發(fā)人員免費自動化安全掃描的能力，能幫開發(fā)團(tuán)隊無縫融合進(jìn)DevOps工具鏈的Jenkins插件。

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

2.Gauntlt

專門為嵌入持續(xù)集成(CI)流水線而生的安全測試框架，能讓DevOps團(tuán)隊自動化測試所用Cucumber框架中許多現(xiàn)有安全工具發(fā)揮作用。

http://gauntlt.org

3.BDD-Security

BDD-Security提供了安全驗收測試框架的額外選擇，是一款無需訪問目標(biāo)源代碼即可工作的外部掃描器。

https://github.com/continuumsecurity/bdd-security

4.Git-Hound

是一款旨在減少敏感數(shù)據(jù)泄露風(fēng)險的免費安全工具，可以提供對敏感數(shù)據(jù)提交的自動檢查，避免敏感數(shù)據(jù)被提交到代碼倉庫中。

https://github.com/ezekg/git-hound

5.Brakeman

是一款開源靜態(tài)代碼分析工具，有著成熟而活躍的社區(qū)支持，能夠捕獲 Ruby onRails 應(yīng)用中的安全漏洞。

https://brakemanscanner.org

6.FindSecurityBugs

與Brakeman類似，F(xiàn)indSecurityBugs也是一款免費靜態(tài)代碼分析攻擊，只不過分析目標(biāo)主要集中在Java應(yīng)用程序上。它能嵌入集成開發(fā)環(huán)境(IDE)，有適用于Jenkins、Eclipse和Maven等多種平臺的有用插件。

https://find-sec-bugs.github.io

7.Archery

一款開源漏洞評估及管理工具，用Selenium執(zhí)行動態(tài)身份驗證掃描。Archery的 REST API 能讓開發(fā)人員方便地將之融入DevOps工具集。

https://github.com/toolswatch/blackhat-arsenaltools/blob/master/vulnerability_assessment/archery.md

8.CIS Kubernetes 標(biāo)準(zhǔn)檢查程序

Kubernetes為容器化應(yīng)用部署提供了強(qiáng)有力的可擴(kuò)展工具，但正如任何強(qiáng)力可擴(kuò)展工具所需的，它也要求有一些重要的安全實踐以確保過程中的風(fēng)險被控制在最小。該工具提供一套很有價值的自動化腳本，可幫助公司企業(yè)遵從那些標(biāo)準(zhǔn)。

https://github.com/neuvector/kubernetes-cis-benchmark

9.Cloudsploit

Cloudsploit幫助DevOps團(tuán)隊掃描其AWS實例，查找能直接導(dǎo)致此類數(shù)據(jù)曝光的各種配置錯誤和其他安全風(fēng)險。

https://github.com/cloudsploit/scans

10.InSpec

InsSpec由基礎(chǔ)設(shè)施即代碼提供商Chef主導(dǎo)，提供將合規(guī)、安全和策略要求融入到基礎(chǔ)設(shè)施即代碼思想中的工具。

https://www.inspec.io