2023年八个热门DevSecOps开源工具
DevSecOps不仅仅是将安全“塞进”开发和运营。事实上,DevSecOps已经成为一种工程文化、一种自动化平台设计方法,目标是将安全性集成到整个IT生命周期中,成为敏捷企业的安全基石。
随着黑客攻击技术变得越来越复杂,无论是开发工程师还是开发团队负责人,都迫切需要在自动化流程中加入更多的防御机制,如工具、库、服务等。虽然工具整合是大势所趋,但在对工具链进行平台化整合(了解哪些工具是无效的甚至是有害的)之前,企业首先需要扩充工具链(了解哪些工具有助于加强DeSecOps流程)。
以下我们收集整理了八个开发团队不可错过的,可集成到CI/CD管道中的DevSecOps开源工具。
Snyk
Snyk是开发人员优先的云原生安全工具,可以扫描和监控项目是否存在安全漏洞。
地址:
OSV
谷歌开源的osv.dev是用于开源项目的漏洞数据库和分类基础架构,服务于开源维护者和开源用户。
地址:
Binskim
微软开源的Binskim是一种可移植可执行(PE)轻量级扫描程序,可验证编译器/链接器设置和其他与安全相关的二进制特征。
地址:
https://github.com/microsoft/binskim
Tfsec
Auasecurity开源的Tfsec使用Terraform代码的静态分析来发现潜在的错误配置。
地址:
https://github.com/aquasecurity/tfsec
Trivy
Aquasecurity开源的Trivy是一款功能全面的安全扫描器。
地址:
https://github.com/aquasecurity/trivy
Kubelinter
KubeLinter分析Kubernetes YAML文件和Helm图表,并根据各种最佳实践检查它们,重点是生产准备和安全性。
地址:
https://github.com/aquasecurity/tfsec
Checkov
Checkov是一个用于基础设施即代码(IaC)的静态代码分析工具,也是一个用于图像和开源包的软件组成分析(SCA)工具。
地址:
https://github.com/bridgecrewio/checkov
ggshield
Gitguardin的ggshield是一个在本地环境或CI环境中运行的CLI应用程序,可帮助您检测350多种类型的机密信息,以及代码库的其他潜在安全漏洞或策略中断问题。
地址: