2023年八个热门DevSecOps开源工具

DevSecOps不仅仅是将安全“塞进”开发和运营。事实上,DevSecOps已经成为一种工程文化、一种自动化平台设计方法,目标是将安全性集成到整个IT生命周期中,成为敏捷企业的安全基石。

随着黑客攻击技术变得越来越复杂,无论是开发工程师还是开发团队负责人,都迫切需要在自动化流程中加入更多的防御机制,如工具、库、服务等。虽然工具整合是大势所趋,但在对工具链进行平台化整合(了解哪些工具是无效的甚至是有害的)之前,企业首先需要扩充工具链(了解哪些工具有助于加强DeSecOps流程)。

以下我们收集整理了八个开发团队不可错过的,可集成到CI/CD管道中的DevSecOps开源工具。

Snyk

Snyk是开发人员优先的云原生安全工具,可以扫描和监控项目是否存在安全漏洞。

地址:

https://github.com/snyk/cli

OSV

谷歌开源的osv.dev是用于开源项目的漏洞数据库和分类基础架构,服务于开源维护者和开源用户。

地址:

https://osv.dev/

Binskim

微软开源的Binskim是一种可移植可执行(PE)轻量级扫描程序,可验证编译器/链接器设置和其他与安全相关的二进制特征。

地址:

https://github.com/microsoft/binskim

Tfsec

Auasecurity开源的Tfsec使用Terraform代码的静态分析来发现潜在的错误配置。

地址:

https://github.com/aquasecurity/tfsec

Trivy

Aquasecurity开源的Trivy是一款功能全面的安全扫描器。

地址:

https://github.com/aquasecurity/trivy

Kubelinter

KubeLinter分析Kubernetes YAML文件和Helm图表,并根据各种最佳实践检查它们,重点是生产准备和安全性。

地址:

https://github.com/aquasecurity/tfsec

Checkov

Checkov是一个用于基础设施即代码(IaC)的静态代码分析工具,也是一个用于图像和开源包的软件组成分析(SCA)工具。

地址:

https://github.com/bridgecrewio/checkov

ggshield

Gitguardin的ggshield是一个在本地环境或CI环境中运行的CLI应用程序,可帮助您检测350多种类型的机密信息,以及代码库的其他潜在安全漏洞或策略中断问题。

地址:

https://github.com/GitGuardian/ggshield

前一篇Google Fi数据泄漏,黑客发起SIM卡交换攻击
后一篇周刊 | 网安大事回顾(2023.1.30—2023.2.5)