您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

八款白嫖的开发安全测试工具

时间:2020-07-13 15:16:30  来源:  作者:

所谓“左移开发安全”就是在开发流程中的所有阶段都考虑到安全性问题,研发人员承担更多的软件安全责任。

很多研发会认为考虑软件的安全性会给他们徒增更多工作量,但实际上安全能力是研发工作中锦上添花的东西,比如可以帮他们节约大量修复bug的时间。

靠单个产品修复所有的应用安全漏洞几乎不可能。

开发安全需要在开发各个阶段实施不同的防御措施,层层递进地去实现。

八款白嫖的开发安全测试工具

 

开发安全类工具一般包括:

SAST - 静态应用安全测试

DAST - 动态应用安全测试

IAST - 交互式应用安全测试

RASP - 运行时应用自我保护

依赖项安全扫描

Secrets Detection(机密信息检测)

尽早修复漏洞确实更加容易,成本也更低,但在开发早期阶段发现所有漏洞也不太可能。

安全应贯穿软件开发生命周期的整个过程。

八款白嫖的开发安全测试工具

 

纵轴:修复成本;横轴:软件开发生命周期

一.SAST

静态应用安全测试,也称为“白盒测试”,通过扫描源代码发现代码中的已知漏洞,是最常见也是最早出现的自动化应用安全测试。

市场上的SAST工具非常多。确定使用某个工具前,需要评估工具的支持和维护情况以及是否适配自身的技术栈。

这里推荐一些免费的SAST工具。

NodeJsScan

八款白嫖的开发安全测试工具

 

NodeJs Scan有一个命令行接口,可轻松与DevSecOps CI/CD管道集成,并以JSON格式生成扫描结果。

每种语言都有一个配置文件,可以根据自定义检索进行修改。文件总览和整个代码库都可以通过统计数据和饼图做到可视化。

它还可以检测缓冲区溢出漏洞和针对JAVA的十大OWASP漏洞。

SonarQube

八款白嫖的开发安全测试工具

 

SonarQube被誉为是“最好用的免费自动化代码审计工具之一”,具备上千种自动化静态代码分析规则,且支持27种开发语言,能够很好地覆盖整个开发项目的发展。

二.DAST

DAST,动态应用安全测试,也被称为“黑盒测试”,不像SAST那样从源代码中发现漏洞,而是在应用运行时,通过注入故障的方式进行安全测试。

DAST可以发现SQL注入、跨站脚本等常见的安全漏洞,识别应用程序运行时的安全风险,如身份验证和服务器配置问题,以及只有在已知用户登录时才有可能发现的安全问题。

OWASP ZAP

八款白嫖的开发安全测试工具

 

OWASP ZAP是一个功能非常全面的开源DAST工具,不但能够自动进行漏扫,还能协助测试人员完成web应用的渗透测试。ZAP的漏洞库也非常丰富。

三.IAST

IAST,交互式应用安全测试,有时也称为“灰盒测试”,是一种综合了SAST和DAST的检测技术,一般会在测试环境中以agent的形式(例如针对Java虚拟机或.NET CLR的插桩技术)监测运营与攻击情况,从而发现风险点。

Contrast Security - Community

八款白嫖的开发安全测试工具

 

Contrast也是一个声称“开发者至上”的产品,能更深入地发现漏洞。应用程序运行时的上下文信息对于其它的SAST和DAST工具完全是盲区,如控制器、业务逻辑、数据层、视图,用户库,开源组件和应用程序服务器。

四.RASP

RASP,运行时应用程序自我保护,一般部署在某个服务器上,当应用运行时即开始工作,能够实时发现目标应用中的攻击活动。应用程序一旦开始运行,RASP就会分析应用的行为和上下文信息,防止恶意输入或恶意行为的发生。通过对应用行为的持续监控,不用人为干预就可以发现攻击活动并且做到及时修复。

Sqreen

八款白嫖的开发安全测试工具

 

Sqreen的RASP可通过请求的完整执行上下文信息来发现应用上线后的漏洞利用和攻击活动,覆盖OWASP十大安全漏洞,如SQL注入、XSS和SSRF等。

它的强大之处在于能够根据请求的执行逻辑进行攻击拦截,比其它解决方案的误报率低得多。

Sqreen还能自动适配不同的应用程序技术栈,无需重新部署或配置。

依赖项安全扫描

依赖项安全扫描(Dependency Scanning)能够在应用程序开发和测试时检测依赖项的安全漏洞,例如正在使用的外部(开源)依赖库是否存在风险。

Snyk

八款白嫖的开发安全测试工具

 

据说Snyk也是一个开发者之上的企业,为开发人员提供一些开源的解决方案。

Snyk自带很多比较好的功能,比如能在IDE中检测漏洞,扫描本地git测试存储库中的项目等等。

Snyk有一个能够防止新漏洞通过构建过程进入开发环境的安全网关,还有一个用于测试运行环境中是否存在暴露风险点的生产环境。

WhiteSource Bolt for GitHub

八款白嫖的开发安全测试工具

 

Whitesource和Snyk一样有一些面向开发人员的免费工具。

WhiteSource Bolt for GitHub是一款免费的应用,能够持续扫描自有和公开的存储库,检测开源组件中的漏洞并提供修复建议,支持200多种编程语言,能够像美国国家安全漏洞库NVD一样持续跟踪多个开源漏洞库。

Secrets Detection(机密信息检测)

API密钥、数据库凭证和安全证书等是一个组织的机密信息(secrets),拿到这些东西就能访问很多敏感系统。因此需要secrets detection这样的技术加以保护。

secrets detection可扫描源代码、日志等文件,发现其中隐藏的机密。

这是一项技术要求较高的专业服务,因为大多数机密都是以随机字符串的形式存储,而且很多随机字符串都不是机密信息,因此需要通过分类算法,才能以较高的准确度检测到机密信息。

很多人可能会把secrets detection和SAST搞混,因为两者都是扫描源码的技术。

但SAST只扫描目标应用的当前版本,而secrets detection检测的是该项目的所有开发版本。

像git这样的版本控制系统会对项目的所有变更信息进行跟踪和存储。

如果源码的上一个版本含有硬编码的机密信息,却在后面的阶段被删除了,代码审计和SAST工具就无法发现这个问题,遗留在git存储库中容易遭到恶意利用。

所以secrets detection成为了一个独立的分类

GitGuardian

八款白嫖的开发安全测试工具

 

GitGuardian可通过扫描开发人员存储库,持续发现机密信息,涵盖300多种不同类型的机密类型,从密钥到数据库连接字符串、SSL证书、用户名和密码,通过复杂的模型匹配等多种算法技术进行检测。

GitGuardian可以与GitHub帐户实现集成,几分钟即可完成配置。

开发人员可以通过GitGuardian API检测目录、邮件客户端或Slack channel等服务中的机密信息。

五.总结

眼花缭乱的解决方案容易让人选择困难,一个重要标准就是思考这个工具是否能够适配当前的工作流程。

上述的开源工具都只能提供最基本的保护,实际运营过程中还是需要更多功能更加丰富的商业软件和方案。

确保应用的安全是开发人员中最有价值的技能之一,

虽然将安全性“左移”看起来是一项艰巨的任务,但在整个开发生命周期中融合安全测试系统肯定是一项非常值得的投资。



Tags:安全测试工具   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
安全测试是很重要的东西!!可以提高信息系统中的数据安全性,未经批准的用户就无法访问。成功的安全测试可以保护Web应用程序免受严重的恶意软件和其他恶意威胁的侵害,这些侵害会...【详细内容】
2021-01-12  Tags: 安全测试工具  点击:(218)  评论:(0)  加入收藏
所谓“左移开发安全”就是在开发流程中的所有阶段都考虑到安全性问题,研发人员承担更多的软件安全责任。很多研发会认为考虑软件的安全性会给他们徒增更多工作量,但实际上安全...【详细内容】
2020-07-13  Tags: 安全测试工具  点击:(203)  评论:(0)  加入收藏
当今,全球移动用户大约超过37亿,随着移动 App 的广泛应用,必然不断有新的安全威胁产生。而App的安全性,对用户来说是非常重要的,今天快快小编给大家介绍7款优秀的App安全测试工具...【详细内容】
2020-03-19  Tags: 安全测试工具  点击:(105)  评论:(0)  加入收藏
▌简易百科推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  网安老葫    Tags:恶意软件   点击:(13)  评论:(0)  加入收藏
关于windows Defender防病毒的问题升级win10后,我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类,直接给你删除。你好不容易找了个激活工具,你刚打开发现...【详细内容】
2021-11-08  IT小哥吧    Tags:defender   点击:(47)  评论:(0)  加入收藏
喽!大家好,我是小易,欢迎来到我的知识分享站!今天给大家分享5个杀毒神器,让你的电脑干干净净,建议收藏起来哟! 1、Windows Defender随着Win10系统的更新已经日趋完善,它可以很好的解...【详细内容】
2021-11-08  知识与技能    Tags:流氓软件   点击:(74)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  互联网IT技术全栈    Tags:   点击:(52)  评论:(0)  加入收藏
什么是Nessus?Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下:查看当前kali系统内核版本...【详细内容】
2021-09-09  TestGO    Tags:Nessus   点击:(112)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  80后IT老民工    Tags:渗透   点击:(227)  评论:(0)  加入收藏
一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】
2021-08-18  白帽hacker淬炼    Tags:免杀   点击:(82)  评论:(0)  加入收藏
关于工具现有工具现在,现成的污点分析工具已经有很多了。其中,我最感兴趣的是Triton和bincat,因为两者已经相当成熟。然而,我们却无法使用这两种工具,因为它们不支持目标设备所...【详细内容】
2021-08-12  Hbo涵    Tags:安全漏洞   点击:(94)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  趣谈文化  搜狐号  Tags:防火墙   点击:(225)  评论:(0)  加入收藏
一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件,可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】
2021-07-12  Kali与编程  公众号  Tags:Kali Linux   点击:(113)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条