由 猿小六 如果您刚刚开始IT安全,您可能想知道,您从哪里开始保护组织的数据。 有一些框架可以提供这些信息。这其中的一个挑战是,每个组织都有一点不同。 例如,您的组织可能根据您所从事的工作对安全性有独特的需求。可能会有您必须遵守的法规和规定,而且在内部,您可能会看到一套完全不同的安全策略和工具,这与您在不同的组织中看到的完全不同。 有许多安全框架可以帮助您沿着这条特定的道路前进。 这些框架可以帮助您了解可用的不同安全流程,并帮助您了解遵循这些特定流程需要做什么。
十大开源安全检查框架
1 – Snyk
SnykSnyk是一个开源的安全平台,它可以自动检测漏洞并在整个开发过程中加速修复。有了它,您就可以在单个平台上保护现代云本地应用程序的所有组件。 它的特点是实时语义代码分析,持续的人工智能学习,它还在每个开发团队嵌入云本地应用安全。 snyder是在Apache许可下获得许可的。 GitHub: https://github.com/snyk/
2 – w3af
w3afw3af是一个攻击和审计框架。它是一个免费的web应用程序安全扫描器,创建一个框架,帮助您通过查找和利用所有web应用程序漏洞来保护您的web应用程序。 它帮助开发人员和渗透测试人员识别和利用web应用程序中的漏洞。 w3af框架是使用Python构建的,易于使用,并在GPLv2.0下获得许可。 GitHub: https://github.com/andresriancho/w3af
3 – Arachni
ArachniArachni是一个免费的开源Ruby框架。这是一个完整的web应用程序安全扫描框架,专注于帮助渗透测试人员和管理员评估现代web应用程序的安全性。 它是多平台的,支持所有主要的操作系统(MS Windows、Mac OS X和Linux)。 它是在GPL-2.0许可下使用Ruby语言编写的。 GitHub: http://phoenix.yizimg.com/sempervictus/arachni
4 – OWASP
OWASPOWASP (Open Web Application Security Project)是一个源代码分析工具(静态应用安全测试(SAST)工具),旨在分析源代码或编译版本的代码,帮助发现安全缺陷。 它有一些工具来检测软件开发阶段的问题,它还为开发人员在代码开发过程中可能引入的问题提供即时反馈。 你可以在他们的网站上查看表格中的工具。 所有OWASP材料均可在经批准的FLOSS许可下使用。 GitHub: https://github.com/OWASP
5 – Apache Yetus
Apache YetusApache Yetus是一组库和工具,支持软件项目的贡献和发布过程。 它有一个组件列表,如网站源、预提交、观众注释、shell文档、release Doc Maker、yetus-maven-plugin等等。 Apache Yetus是在Apache 2.0许可下发布的。 GitHub: https://github.com/JD-Software/JDeSurvey
6 – OpenSCAP
OpenSCAPOpenSCAP提供了多种工具来帮助管理员和审计人员评估、测量和实施安全基线。 它保持了很大的灵活性和互操作性,降低了执行安全审计的成本。它的目标是对本地系统执行配置和漏洞扫描。 此外,它可以在任何平台上免费使用,所有OpenSCAP工具的源代码都是公开的,它提供了工具和可定制的策略,以实现快速、经济、灵活的实现,它代表了库和命令行工具。 OpenSCAP可用于各种Linux发行版,包括Red Hat Enterprise Linux、Fedora和Ubuntu。OpenSCAP目前正致力于微软Windows 1.3.0的开发。 该项目是在LGPL-2.1许可下发布的。 GitHub: https://github.com/OpenSCAP
7 – SonarQube
SonarQubeSonarQube是一个开源软件,开发者可以编写更干净、更安全的代码。 有了它,你可以通过持续的代码质量和代码安全来增强你的工作流程,捕捉棘手的bug以防止未定义的行为影响最终用户,并修复危及你的应用程序的漏洞。它还将确保你的代码库是干净的和可维护的,以提高开发速度。 SonarQube是用java编写的,并在LGPL-3.0许可下获得许可。 GitHub: https://github.com/SonarSource/sonarqube
8 – Metasploit
MetasploitMetasploit是一个针对攻击性安全团队的渗透测试框架。它是在bsd风格的许可下发布的。 它是一个漏洞验证工具,可以帮助您将渗透测试工作流划分为可管理的部分。 此外,Metasploit包含命令行界面、第三方导入、手动利用、操作和手动强制执行。 Metasploit的免费版本包括Zenmap、一个安全扫描程序和一个Ruby编译器。 GitHub: https://github.com/rapid7/metasploit-framework
9-SKF
SKFSKF是一个开源的安全知识框架,可以训练您和您的团队编写安全代码,通过设计。它基于一个使用OWASP应用程序安全验证标准的Python-Flask web应用程序。 它帮助您与您的团队编写安全代码。有了它,你可以创建项目,开始为你的特性/sprint收集需求,它有许多代码示例,它有ASVS和MASVS,你可以训练你的黑客技能超过50个互动实验室,它是用户管理。 SKF是一个Python Flask / Angular项目,在GNU 3.0许可下获得许可。 GitHub: https://github.com/blabla1337/skf-flask
10 -FOSSA
窝另一个好的,简单和灵活的驱动企业团队的开源依赖关系管理。自动化的遵从性、安全性和质量。 FOSSA希望帮助开发人员管理开源许可证管理的棘手领域。 它具有通用标识、可扩展的治理、企业级报告、自动、实时的漏洞保护。 它还支持对大型单体的许可证和漏洞扫描。语言无关;集成20+构建系统。 FOSSA是用Go语言构建的,并在mpls -2.0许可下获得许可。 GitHub: https://github.com/fossas