10款免費工具:敏捷開發運維(DevOps)的好幫手
讓開發人員全心全意投入應用安全(APPSEC)的關鍵方法之一,就是清除掉將安全過程嵌入日常工作流時遇到的諸多麻煩。DevSecOps取得成功的一大因素,在於公司有能力實現開發人員不會痛恨的安全工具。
為此,公司企業需改善安全測試工具包與開發人員所用其他軟體開發工具之間的整合。值得慶幸的是,這種整合還沒到需要搶銀行的燒錢程度。雖然也不是完全零花費,但確實大多數能良好整合進持續工作流的DevOps友好安全工具往往是免費的。
下面就列出其中幾個最具前景的DevOps友好免費工具。
1. OWASP Zed Attack Proxy (ZAP)
由推出行業標準基準 OWASP 10大漏洞列表的同一組織領導,OWASP ZAP 賦予開發人員免費自動化安全掃描的能力。ZAP已被很多企業採納,其蘊含的一大DevOps優勢,是擁有一款評價很好的,能幫開發團隊無縫融合進DevOps工具鏈的Jenkins外掛。
2. Gauntlt
作為專門為嵌入持續整合(CI)流水線而生的安全測試框架,Gauntlt在開發界和安全界都有大批擁躉。它之所以如此受歡迎,是因為能讓DevOps團隊自動化測試所用Cucumber框架中許多現有安全工具發揮作用。
3. BDD-Security
BDD-Security提供了安全驗收測試框架的額外選擇。該工具採用“行為驅動開發”的概念幫助團隊設立並自動測試其安全規範,且同樣基於Cucumber測試框架。BDD-Security 預置支援 Selenium/WebDriver、OWASP ZAP、SSLyz和Nessus,是一款無需訪問目標原始碼即可工作的外部掃描器。
4. Git-Hound
如果缺乏足夠的過程或工具幫助開發人員約束敏感資料,DevOps往GitHub上倉促提交程式碼的行為無疑會引入很多風險。最近兩年我們見證了數起相當引人注目的GitHub程式碼倉庫敏感資料洩露事件,都是因為鬆懈的安全實踐引起的。比如2016年的Uber資料洩露事件。Git-Hound是一款旨在減少此類敏感資料洩露風險的免費安全工具,可以提供對敏感資料提交的自動檢查,避免敏感資料被提交到程式碼倉庫中。
5. Brakeman
Brakeman是一款開源靜態程式碼分析工具,有著成熟而活躍的社群支援,能夠捕獲 Ruby on Rails 應用中的安全漏洞。自2013年首度進入人們視線以來,Brakeman發展一直很好,最近更是打破了1100萬下載大關。
6. FindSecurityBugs
與Brakeman類似,FindSecurityBugs也是一款免費靜態程式碼分析攻擊,只不過分析目標主要集中在Java應用程式上。它能嵌入整合開發環境(IDE),有適用於Jenkins、Eclipse和Maven等多種平臺的有用外掛。
7. Archery
Archery今年早些時候才在黑帽亞洲的武器庫上亮相,是本列表中相對較年輕的一員,但絕對有實力脫穎而出。這是一款開源漏洞評估及管理工具,用Selenium執行動態身份驗證掃描。Archery的 REST API 能讓開發人員方便地將之融入DevOps工具集,應會受到開發人員的廣泛歡迎。
8. CIS Kubernetes 標準檢查程式
DevOps團隊紛紛投入Kubernets的懷抱以有效編配其容器化的工作負載。Kubernetes為容器化應用部署提供了強有力的可擴充套件工具,但正如任何強力可擴充套件工具所需的,它也要求有一些重要的安全實踐以確保過程中的風險被控制在最小。幸運的是,網際網路安全中心(CIS)發展出了一整套強化Kubernetes實現的建議。該工具提供一套很有價值的自動化指令碼,可幫助公司企業遵從那些標準。
9. Cloudsploit
說到企業AWS安全,最近兩年的尷尬事還真不少。為了更快推送程式碼,很多軟體公司在開發環境安全保護方面可謂十分鬆懈,也由此導致了數起引人注目的資料洩露事件。Cloudsploit幫助DevOps團隊掃描其AWS例項,查詢能直接導致此類資料曝光的各種配置錯誤和其他安全風險。
10. InSpec
InsSpec由基礎設施即程式碼提供商Chef主導,提供將合規、安全和策略要求融入到基礎設施即程式碼思想中的工具。該開源專案促進了將策略轉變為人類和機器可讀的語言。這是一個平臺無關的專案,不單單是Chef可用,Puppet環境也能用,Docker、Azure、AWS等其他平臺和系統中同樣表現良好。