十大开源安全测试框架

2021年08月08日 119      本文共2549字,预计阅读时间8分钟

如果您刚刚开始IT安全,您可能想知道,您从哪里开始保护组织的数据。

有一些框架可以提供这些信息。这其中的一个挑战是,每个组织都有一点不同。

例如,您的组织可能根据您所从事的工作对安全性有独特的需求。可能会有您必须遵守的法规和规定,而且在内部,您可能会看到一套完全不同的安全策略和工具,这与您在不同的组织中看到的完全不同。

有许多安全框架可以帮助您沿着这条特定的道路前进。

这些框架可以帮助您了解可用的不同安全流程,并帮助您了解遵循这些特定流程需要做什么。

十大开源安全检查框架

1 – Snyk

Snyk

Snyk是一个开源的安全平台,它可以自动检测漏洞并在整个开发过程中加速修复。有了它,您就可以在单个平台上保护现代云本地应用程序的所有组件。

它的特点是实时语义代码分析,持续的人工智能学习,它还在每个开发团队嵌入云本地应用安全。

snyder是在Apache许可下获得许可的。

GitHub: https://github.com/snyk/

2 – w3af

w3af

w3af是一个攻击和审计框架。它是一个免费的web应用程序安全扫描器,创建一个框架,帮助您通过查找和利用所有web应用程序漏洞来保护您的web应用程序。

它帮助开发人员和渗透测试人员识别和利用web应用程序中的漏洞。

w3af框架是使用Python构建的,易于使用,并在GPLv2.0下获得许可。

GitHub: https://github.com/andresriancho/w3af

3 – Arachni

Arachni

Arachni是一个免费的开源Ruby框架。这是一个完整的web应用程序安全扫描框架,专注于帮助渗透测试人员和管理员评估现代web应用程序的安全性。

它是多平台的,支持所有主要的操作系统(MS Windows、Mac OS X和Linux)。

它是在GPL-2.0许可下使用Ruby语言编写的。

GitHub: http://phoenix.yizimg.com/sempervictus/arachni

4 – OWASP

OWASP

OWASP (Open Web Application Security Project)是一个源代码分析工具(静态应用安全测试(SAST)工具),旨在分析源代码或编译版本的代码,帮助发现安全缺陷。

它有一些工具来检测软件开发阶段的问题,它还为开发人员在代码开发过程中可能引入的问题提供即时反馈。

你可以在他们的网站上查看表格中的工具。

所有OWASP材料均可在经批准的FLOSS许可下使用。

GitHub: https://github.com/OWASP

5 – Apache Yetus

Apache Yetus

Apache Yetus是一组库和工具,支持软件项目的贡献和发布过程。

它有一个组件列表,如网站源、预提交、观众注释、shell文档、release Doc Maker、yetus-maven-plugin等等。

Apache Yetus是在Apache 2.0许可下发布的。

GitHub: https://github.com/JD-Software/JDeSurvey

6 – OpenSCAP

OpenSCAP

OpenSCAP提供了多种工具来帮助管理员和审计人员评估、测量和实施安全基线。

它保持了很大的灵活性和互操作性,降低了执行安全审计的成本。它的目标是对本地系统执行配置和漏洞扫描。

此外,它可以在任何平台上免费使用,所有OpenSCAP工具的源代码都是公开的,它提供了工具和可定制的策略,以实现快速、经济、灵活的实现,它代表了库和命令行工具。

OpenSCAP可用于各种Linux发行版,包括Red Hat Enterprise Linux、Fedora和Ubuntu。OpenSCAP目前正致力于微软Windows 1.3.0的开发。

该项目是在LGPL-2.1许可下发布的。

GitHub: https://github.com/OpenSCAP

7 – SonarQube

SonarQube

SonarQube是一个开源软件,开发者可以编写更干净、更安全的代码。

有了它,你可以通过持续的代码质量和代码安全来增强你的工作流程,捕捉棘手的bug以防止未定义的行为影响最终用户,并修复危及你的应用程序的漏洞。它还将确保你的代码库是干净的和可维护的,以提高开发速度。

SonarQube是用java编写的,并在LGPL-3.0许可下获得许可。

GitHub: https://github.com/SonarSource/sonarqube

8 – Metasploit

Metasploit

Metasploit是一个针对攻击性安全团队的渗透测试框架。它是在bsd风格的许可下发布的。

它是一个漏洞验证工具,可以帮助您将渗透测试工作流划分为可管理的部分。

此外,Metasploit包含命令行界面、第三方导入、手动利用、操作和手动强制执行。

Metasploit的免费版本包括Zenmap、一个安全扫描程序和一个Ruby编译器。

GitHub: https://github.com/rapid7/metasploit-framework

9-SKF

SKF

SKF是一个开源的安全知识框架,可以训练您和您的团队编写安全代码,通过设计。它基于一个使用OWASP应用程序安全验证标准的Python-Flask web应用程序。

它帮助您与您的团队编写安全代码。有了它,你可以创建项目,开始为你的特性/sprint收集需求,它有许多代码示例,它有ASVS和MASVS,你可以训练你的黑客技能超过50个互动实验室,它是用户管理。

SKF是一个Python Flask / Angular项目,在GNU 3.0许可下获得许可。

GitHub: https://github.com/blabla1337/skf-flask

10 -FOSSA

另一个好的,简单和灵活的驱动企业团队的开源依赖关系管理。自动化的遵从性、安全性和质量。

FOSSA希望帮助开发人员管理开源许可证管理的棘手领域。

它具有通用标识、可扩展的治理、企业级报告、自动、实时的漏洞保护。

它还支持对大型单体的许可证和漏洞扫描。语言无关;集成20+构建系统。

FOSSA是用Go语言构建的,并在mpls -2.0许可下获得许可。

GitHub: https://github.com/fossas