更新時(shí)間:2020-07-31 來(lái)源:黑馬程序員 瀏覽量:
SAST工具是最常見(jiàn)也是最早出現(xiàn)的自動(dòng)化應(yīng)用安全測(cè)試。有些研發(fā)人員認(rèn)為,考慮軟件的安全性會(huì)給他們?cè)黾痈喙ぷ髁?,但?shí)際上,安全能力會(huì)給研發(fā)工作錦上添花,幫助節(jié)約大量修復(fù)bug的時(shí)間。市場(chǎng)上的SAST工具非常多,今天就介紹6款免費(fèi)的開(kāi)發(fā)安全測(cè)試工具,希望能幫到你。
1、GitGuardian
GitGuardian包括300多種不同類(lèi)型的機(jī)密類(lèi)型,能夠通過(guò)復(fù)雜的模型匹配等多種算法技術(shù)進(jìn)行檢測(cè),并且通過(guò)掃描開(kāi)發(fā)人員存儲(chǔ)庫(kù),持續(xù)發(fā)現(xiàn)機(jī)密信息。有一個(gè)很棒的功能是,GitGuardian可以和GitHub帳戶(hù)集成,只需幾分鐘就能完成配置。開(kāi)發(fā)人員可以通過(guò)GitGuardian
API檢測(cè)目錄、郵件客戶(hù)端或Slack channel等服務(wù)中的機(jī)密信息。
2、Snyk
Snyk能為開(kāi)發(fā)人員提供一些開(kāi)源的解決方案,它有很多不錯(cuò)的功能,比如在IDE中檢測(cè)漏洞,掃描本地git測(cè)試存儲(chǔ)庫(kù)中的項(xiàng)目等。Snyk有安全網(wǎng)關(guān),能夠防止漏洞通過(guò)構(gòu)建過(guò)程進(jìn)入開(kāi)發(fā)環(huán)境,而且有一個(gè)生產(chǎn)環(huán)境,用于測(cè)試運(yùn)行環(huán)境中是否存在暴露風(fēng)險(xiǎn)點(diǎn)。
3、NodeJsScan
NodeJs Scan有一個(gè)命令行接口,很方便就能與DevSecOps CI/CD管道集成,并以JSON格式生成掃描結(jié)果。NodeJs
Scan的文件總覽和整個(gè)代碼庫(kù)都可以通過(guò)統(tǒng)計(jì)數(shù)據(jù)和餅圖做到可視化,此外,還可以檢測(cè)緩沖區(qū)溢出漏洞,并針對(duì)Java的十大OWASP漏洞。
4、Contrast Security-Community
Contrast
Security提供了一種新的軟件應(yīng)用安全方法,可以深入地發(fā)現(xiàn)漏洞。軟件開(kāi)發(fā)人員可以在其開(kāi)發(fā)的軟件中嵌入一個(gè)安全傳感器,這個(gè)傳感器不斷地把數(shù)據(jù)傳送到Contrast的平臺(tái),使得開(kāi)發(fā)者能夠在軟件開(kāi)發(fā)和測(cè)試過(guò)程中評(píng)估軟件的缺陷,能夠在已部署的軟件遭受攻擊時(shí)進(jìn)行精確防護(hù)。
5、Sqreen
Sqreen的RASP覆蓋OWASP十大安全漏洞,可通過(guò)請(qǐng)求的完整執(zhí)行上下文信息來(lái)發(fā)現(xiàn)應(yīng)用上線后的漏洞利用和攻擊活動(dòng),如SQL注入、XSS和SSRF等。它能夠根據(jù)請(qǐng)求的執(zhí)行邏輯進(jìn)行攻擊攔截,比其它解決方案的誤報(bào)率低得多,這是它比較大的一個(gè)特點(diǎn)。Sqreen還能自動(dòng)適配不同的應(yīng)用程序技術(shù)棧,無(wú)需重新部署或配置。
6、WhiteSource Bolt for GitHub
Whitesource支持200多種編程語(yǔ)言,能持續(xù)掃描自有和公開(kāi)的存儲(chǔ)庫(kù),檢測(cè)開(kāi)源組件中的漏洞并提供修復(fù)建議,能夠持續(xù)跟蹤多個(gè)開(kāi)源漏洞庫(kù),這是很了不起的功能。
猜你喜歡:
10款常見(jiàn)常用的自動(dòng)化測(cè)試工具推薦
測(cè)試人員如何更快速的使用不同自動(dòng)化測(cè)試工具呢?