成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

開發(fā)者須知的七種免費安全工具

2022-10-08    分類: 網(wǎng)站建設

【51CTO.com快譯】不知您是否已注意到:如今的程序員們,已經(jīng)改變了過去在開發(fā)過程中完全無視安全性的狀況。得益于SAST(Static Application Security Testing,靜態(tài)應用安全測試)、DAST(Dynamic Application Security Testing,動態(tài)應用安全測試)、SCA(Service Component Analysis,軟件組成分析)等脆弱性管理工具,他們在研發(fā)的過程中,不斷地將安全性進行“左移(shift-left)”。在為用戶創(chuàng)建各種軟件的同時,他們已能夠自覺地將應用程序的安全性融入到了日常的編程環(huán)節(jié)之中。

開發(fā)者須知的七種免費安全工具

近年來,隨著DevOps及其相關技術在各個領域,特別是軟件行業(yè)的落地與實踐,安全相關任務在程序開發(fā)中的占比逐步增強。許多開發(fā)人員都能夠在軟件開發(fā)生命周期(SDL)的更早階段,自行發(fā)現(xiàn)和修復產(chǎn)品原型中的各類漏洞。最近,業(yè)界甚至有種觀點認為:由于了解手頭代碼的內(nèi)部復雜性和具體內(nèi)容,許多開發(fā)人員實際上比那些安全專業(yè)人員更適合處理應用程序中潛在的安全相關問題,而安全專業(yè)人員往往只能從經(jīng)驗和外部功能上予以分析。

在敏捷和DevOps理念中,“安全左移”是指:在軟件開發(fā)的整個生命周期中,將安全性盡可能地推向、并嵌入到左側(cè)的開始環(huán)節(jié),而不是到了進程的最后,再去考慮安全性問題。因此,這就要求每一位開發(fā)人員通過使用恰當?shù)墓ぞ?,來關注和保證代碼的安全態(tài)勢。

鑒于上述特點,我在此為大家收集并羅列了七種免費的安全工具,以便開發(fā)人員能夠?qū)⑺鼈兪占{在自己的工具箱之中。

1. Burp Suite

參考鏈接:https://portswigger.net/burp/communitydownload

Burp Suite是一種基于Java的Web滲透測試框架。該框架自帶的各種工具能夠通過無縫的協(xié)作方式,來支持整個測試過程。Burp Suite能夠在應用程序的攻擊面上進行各種初始化的映射與分析,進而發(fā)現(xiàn)那些可能被利用的安全漏洞。

同時,該工具能夠通過攔截HTTP/S的各種請求,來充當用戶和網(wǎng)站之間的中間人角色。其付費版本提供了一套更為靈活的自動化測試工具,能夠與Jenkins等其他框架相集成。

2. ZED Attack Proxy(ZAP)

參考鏈接:https://www.zaproxy.org/

由OWASP(Open Web Application Security Project,開放式Web應用程序安全項目)開發(fā)的ZAP(或稱Zed Attack Proxy),是一款多平臺的Web應用安全測試類工具。在開發(fā)的過程中,ZAP可以被運用到針對Web應用的各種安全漏洞及測試階段中。由于具有直觀的GUI(Graphical User Interface,圖形用戶界面),新用戶很容易上手并使用ZAP。同時,該安全測試工具也支持高級用戶使用命令行的方式進行訪問。除了作為漏洞掃描器被使用之外,ZAP還可以作為攔截代理,被用于手動測試網(wǎng)頁的場景中。

3. ModSecurity

參考鏈接:https://www.modsecurity.org/download.html

ModSecurity是一款開源的、基于Web的應用級防火墻(或稱WAF)。它能夠支持諸如Apache、Nginx和IIS等不同的Web服務器。它能夠?qū)eb應用提供一系列針對各類攻擊的保護,并允許用戶進行HTTP流量監(jiān)控、日志記錄和實時分析。

ModSecurity通常是與開源Web服務器--Apache一起被安裝的。它能夠防御多種基于Web的攻擊,包括代碼注入和暴力攻擊等。同時,ModSecurity可以通過靈活的規(guī)則引擎,來執(zhí)行各種簡繁不等的安全操作。另外,它還自帶有一個包含了:跨站腳本、惡意用戶代理、SQL注入、木馬、會話劫持、以及其他類型漏洞的核心規(guī)則集(Core Rule Set,CRS)。

4. WhiteSource Bolt

參考鏈接:https://bolt.whitesourcesoftware.com/

用戶可以從GitHub和微軟Azure的DevOps/TFS處獲取WhiteSource Bolt。如果開發(fā)人員能夠在編寫代碼的早期階段使用該工具的話,他們就能夠更早地獲取重要的安全警報,以開發(fā)出更加安全的開源組件。

根據(jù)那些在GitHub中自動生成的安全警報,用戶可以查看諸如CVE(Common Vulnerabilities & Exposures,公共漏洞和暴露)的參考、CVSS(Common Vulnerability Scoring System,通用漏洞評估方法)的評級、以及相關的修復建議和重要細節(jié)。同時,該工具可以為用戶提供在規(guī)劃補救方案時所需的其他相關信息,甚至還支持以“里程碑”的方式將發(fā)現(xiàn)的漏洞分配給其他團隊的成員。

5. LGTM

參考鏈接:https://github.com/apps/lgtm-com

LGTM是一個能夠通過自動檢查用戶代碼,以獲得確有CVE相關漏洞的變種分析平臺。通過將深層次的語義代碼搜索、與數(shù)據(jù)科學的洞悉相結(jié)合,LGTM能夠以查詢結(jié)果相關度排名的方式,僅顯示出那些重要的警報信息。另外,LGTM還可以提供各種來自大型社區(qū)的、那些頂級安全研究人員的經(jīng)驗分析。這些都有助于開發(fā)人員交付出安全的程序代碼。

6. Find Security Bugs

參考鏈接:https://find-sec-bugs.github.io/

FSB是FunBugs靜態(tài)代碼分析工具的一個免費插件。其特長是能夠通過檢索Bug的特征模型,來查找代碼中的安全問題。它可以被用來掃描Java Web應用、Android應用、以及Scala與Groovy等應用程序。由于它是從字節(jié)碼級別進行分析的,因此它并不對源代碼進行強制性的分析。FSB可以被集成到諸如IntelliJ、Eclipse和Android Studio等大多數(shù)Java IDE(Integrated Development Environment,集成開發(fā)環(huán)境)之中,并能夠提供諸如Jenkins或SonarQube之類的連續(xù)性集成。

7. Skipfish

參考鏈接:https://tools.kali.org/web-applications/skipfish

作為一款Web應用的安全工具,Skipfish能夠通過“爬取”用戶的網(wǎng)站,以檢索出每個頁面上潛在的各類安全威脅,進而提供最終的安全報告。同時,它能夠最優(yōu)化HTTP的處理,并最小化CPU的占有。

通過執(zhí)行遞歸式的爬取和基于字典式的探測,Skipfish能夠為用戶提供針對目標網(wǎng)站的交互式站點地圖。這些地圖都帶有主動式安全檢查的結(jié)果標注。因此,由該工具所生成的最終報告,可以作為專業(yè)評估Web應用安全性的基礎性依據(jù)。

安全性好實踐的重要性

隨著各類企業(yè)對于軟件產(chǎn)品安全性的持續(xù)關注,我們的研發(fā)團隊應當在整個SDLC中,將恰當?shù)墓芸毓ぞ吲c各種優(yōu)秀的實踐相結(jié)合,通過不斷的迭代與改進,進而保障各類Web應用的安全態(tài)勢。

原文標題:7 Free Security Tools That All Developers Will Want in Their Toolbox,作者:Zev Brodsky

網(wǎng)頁名稱:開發(fā)者須知的七種免費安全工具
轉(zhuǎn)載注明:http://jinyejixie.com/news48/203448.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供電子商務、外貿(mào)建站網(wǎng)站導航、動態(tài)網(wǎng)站、響應式網(wǎng)站、網(wǎng)站維護

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

小程序開發(fā)
西青区| 阿城市| 资中县| 景德镇市| 陆丰市| 靖西县| 马关县| 江津市| 舟曲县| 中江县| 南昌市| 孝义市| 东辽县| 石泉县| 阳新县| 肥乡县| 资中县| 山东| 益阳市| 昌邑市| 湾仔区| 聂荣县| 兴城市| 长葛市| 称多县| 萝北县| 新泰市| 华坪县| 洞头县| 修水县| 万盛区| 大渡口区| 南涧| 新河县| 丽水市| 合肥市| 舒兰市| 大城县| 延川县| 江门市| 泰顺县|