28款DevSecOps工具助力安全開(kāi)發(fā)

將安全融入開(kāi)發(fā)過(guò)程，更早捕獲并修復應用漏洞，你需要這五類(lèi)共28款DevSecOps工具。


DevSecOps工具


DevSecOps是將安全集成到整個(gè)應用開(kāi)發(fā)周期的過(guò)程，是從內到外強化應用，使其能夠抵御各種潛在威脅的理想方式。因為很多公司企業(yè)不斷開(kāi)發(fā)應用以滿(mǎn)足客戶(hù)和商業(yè)合作伙伴的需求，DevSecOps的吸引力也與日俱增。


敏捷開(kāi)發(fā)方法與DevOps操作幫助公司企業(yè)達成持續開(kāi)發(fā)的目標。云原生應用架構也成為了DevSecOps運動(dòng)的有力貢獻者，推動(dòng)采用公共云提供商、容器技術(shù)和容器平臺為應用提供計算能力。DevSecOps將安全過(guò)程與工具集成進(jìn)工作流并加以自動(dòng)化，擺脫了傳統方法按時(shí)間點(diǎn)進(jìn)行的潛在干擾，是個(gè)無(wú)縫且持續的過(guò)程。


咨詢(xún)公司 Data Bridge Market Research 稱(chēng)，鑒于網(wǎng)絡(luò )安全威脅數量與危害性的持續上升，全球DevSecOps市場(chǎng)預計將從2018年的14.7億美元增長(cháng)至2026年的136.3億美元。


市場(chǎng)繁榮之下，DevSecOps工具必將呈現百花齊放百家爭鳴的局面。下面就按核心門(mén)類(lèi)為您呈上多款優(yōu)秀DevSecOps工具。


警報：向開(kāi)發(fā)人員通報異常


開(kāi)發(fā)應用的時(shí)候很容易忽略掉安全漏洞。下面的工具為開(kāi)發(fā)人員提供了潛在安全異常及缺陷的警報功能，可供開(kāi)發(fā)人員及時(shí)調查并修復這些漏洞，不至于走得太遠回不了頭。有些工具專(zhuān)用于警報功能，比如開(kāi)源的Alerta 。其他工具則兼具測試等別的功能，比如 Contrast Assess。


1. Alerta


(http://wap.friendlycc.com.cn/

該開(kāi)源工具可將多個(gè)來(lái)源的信息整合去重，提供快速可視化功能。Alerta與Prometheus、Riemann、Nagios、Cloudwatch及其他監視/管理服務(wù)集成，開(kāi)發(fā)人員可通過(guò)API按需定制Alerta。


2. Contrast Assess


(http://wap.friendlycc.com.cn/

作為一款互動(dòng)應用安全測試(IAST)工具，Contrast Assess 與用戶(hù)應用集成，在后臺持續監視代碼，并在發(fā)現安全漏洞時(shí)發(fā)出警報。據稱(chēng)即便是非安全開(kāi)發(fā)人員也可使用 Contrast Assess 自行識別并修復漏洞。


3. Contrast Protect


(http://wap.friendlycc.com.cn/

該運行時(shí)應用自保護(RASP)工具采用了 Contrast Assess 同款嵌入式代理。Contrast Protect 在生產(chǎn)環(huán)境中查找漏洞利用程序和未知威脅，并將結果提交給安全信息及事件管理(SIEM)控制臺、防火墻或其他安全工具。


4. ElastAlert


(http://wap.friendlycc.com.cn/

ElastAlert提供近實(shí)時(shí)接收警報的框架，可接收來(lái)自Elasticsearch數據的安全異常、流量激增及其他模式。ElastAlert查詢(xún)Elasticsearch并根據一系列規則比較這些數據。一旦出現匹配，ElastAlert便發(fā)出警報并隨附建議動(dòng)作。


自動(dòng)化：發(fā)現并修復缺陷


大多數DevSecOps工具都提供一定程度的自動(dòng)化。此類(lèi)工具自動(dòng)掃描、發(fā)現并修復安全缺陷，只是自動(dòng)化程度各有不同，從條件式事件驅動(dòng)的自動(dòng)化到運用深度學(xué)習技術(shù)的自動(dòng)化都有。


1. CodeAI


(http://wap.friendlycc.com.cn/

旨在通過(guò)深度學(xué)習技術(shù)自動(dòng)查找并修復源代碼中的安全漏洞，號稱(chēng)可為開(kāi)發(fā)人員提供可供參考的解決方案列表，而不僅僅是安全問(wèn)題列表。其供應商QbitLogic宣稱(chēng)，已為CodeAI饋送了數百萬(wàn)個(gè)現實(shí)世界漏洞修復樣本供訓練。


2. Parasoft tool suite


(http://wap.friendlycc.com.cn/

Parasoft提供包括應用開(kāi)發(fā)安全測試在內的多種自動(dòng)化工具：


1)Parasoft C/C test


(http://wap.friendlycc.com.cn/

用于開(kāi)發(fā)過(guò)程早期缺陷識別;


2)Parasoft Insure


(http://wap.friendlycc.com.cn/

可以查找不規范編程及內存訪(fǎng)問(wèn)錯誤;


3)Parasoft Jtest


(http://wap.friendlycc.com.cn/

用于Java軟件開(kāi)發(fā)測試;


4) Parasoft dotTEST


(http://wap.friendlycc.com.cn/

以深度靜態(tài)分析和高級覆蓋作為 Visual Studio 工具的補充。


3. Red Hat Ansible Automation


(http://wap.friendlycc.com.cn/

該工具包含三個(gè)模塊——Ansible Tower、Ansible Engine 和 Red Hat Ansible Network Automation，可作為無(wú)代理IT自動(dòng)化技術(shù)單獨或聯(lián)合使用。盡管不是專(zhuān)門(mén)的安全工具，Ansible Automation 卻可供用戶(hù)定義規則以確定自身軟件開(kāi)發(fā)項目中哪些部分是安全的。


4. StackStorm


(http://wap.friendlycc.com.cn/

該開(kāi)源工具號稱(chēng)“可進(jìn)行條件式運營(yíng)”，其事件驅動(dòng)的自動(dòng)化能在檢測到安全漏洞時(shí)提供腳本化的修復與響應，并附有持續部署、ChatOps優(yōu)化等功能。


5. Veracode


(http://wap.friendlycc.com.cn/

該公司提供DevSecOps環(huán)境中廣泛使用的一系列自動(dòng)化安全工具，包括在代碼編寫(xiě)時(shí)即時(shí)自動(dòng)掃描的Greenlight;在沙箱中掃描代碼漏洞的 Developer Sandbox;識別漏洞組件的 Software Composition Analysis (SCA);以及識別應用缺陷的 Static Analysis。


儀表板：開(kāi)發(fā)過(guò)程可見(jiàn)性


專(zhuān)用DevSecOps儀表板工具可使用戶(hù)在同一圖形界面中查看并共享從開(kāi)發(fā)伊始到運營(yíng)過(guò)程中的安全信息。有些DevSecOps應用，比如ThreatModeler和Parasoft已自帶儀表板。


1. Grafana


(http://wap.friendlycc.com.cn/

該開(kāi)源分析平臺允許用戶(hù)創(chuàng )建自定義儀表板，聚合所有相關(guān)數據以可視化及查詢(xún)安全數據。如果不想自行構建，還可以在其網(wǎng)站上選用社區構建的儀表板。


2. Kibana


(http://wap.friendlycc.com.cn/

如果你使用Elasticsearch，該開(kāi)源工具可在統一圖形界面中集成成千上萬(wàn)的日志條目，包括運營(yíng)數據、時(shí)間序列分析、應用監視等等。


威脅建模：識別并排序應用風(fēng)險


威脅建模DevSecOps工具用以在復雜的攻擊界面中識別、預測并定義威脅，以便用戶(hù)可以做出主動(dòng)安全決策。有些工具可根據用戶(hù)提供的系統及應用信息自動(dòng)構建威脅模型，并提供可視化界面以幫助安全及非安全人員探索威脅及其潛在影響。


1. IriusRisk


(http://wap.friendlycc.com.cn/

出自 Continuum Security 的解決方案，既可云部署，也可現場(chǎng)部署，能以基于問(wèn)卷的界面自動(dòng)化風(fēng)險及需求分析，并設計出威脅模型和技術(shù)性安全要求。IriusRisk還可幫助用戶(hù)管理代碼構建及安全測試階段。


2. ThreatModeler


(http://wap.friendlycc.com.cn/

該自動(dòng)化威脅建模系統有兩個(gè)版本：AppSec版和云版。在提供了用戶(hù)應用或系統的功能性信息后，ThreatModeler會(huì )基于更新的威脅情報自動(dòng)就整個(gè)攻擊界面進(jìn)行數據分析和潛在威脅識別。


3. OWASP Threat Dragon


(http://wap.friendlycc.com.cn/

一款基于Web的開(kāi)源工具，提供系統圖解和用于自動(dòng)化威脅建模與緩解的規則引擎。Threat Dragon 承諾可與其他軟件開(kāi)發(fā)生命周期(SDLC)工具無(wú)縫集成，且界面易于使用。


測試：在上線(xiàn)前查找安全漏洞


在開(kāi)發(fā)過(guò)程中測試應用以找出潛在漏洞是DevSecOps的關(guān)鍵部分，能夠事先發(fā)現安全漏洞，避免漏洞被黑客利用。盡管其他工具往往包含了測試功能，比如Parasoft出品的那些，下列工具仍然在應用安全測試上表現強勁。


1. BDD-Security


(http://wap.friendlycc.com.cn/

該出自 Continuum Security 的開(kāi)源框架可使安全人員在敏捷開(kāi)發(fā)過(guò)程中測試行為驅動(dòng)開(kāi)發(fā)(BDD)語(yǔ)言編寫(xiě)的功能及非功能性安全場(chǎng)景。此BDD框架旨在使安全功能獨立于應用特定的導航邏輯，讓同樣的安全要求能夠更容易地應用到多個(gè)應用程序上。


2. Checkmarx CxSAST


(http://wap.friendlycc.com.cn/

可對25種編程及腳本語(yǔ)言進(jìn)行未編譯/未構建源代碼掃描的靜態(tài)應用安全測試(SAST)工具，能在SDLC早期發(fā)現成百上千種安全漏洞。CxSAST兼容所有集成開(kāi)發(fā)環(huán)境(IDE)，是Checkmarx軟件暴露平臺的一部分——該平臺可在DevOps所有階段植入安全。Checkmarx的交互式應用安全測試(IAST)工具可檢測運行中應用的安全漏洞。


3. Chef InSpec


(http://wap.friendlycc.com.cn/

整個(gè)開(kāi)發(fā)過(guò)程中的每一階段都可以運用該開(kāi)源工具自動(dòng)化安全測試以確保針對傳統服務(wù)器及容器和云API的合規、安全及其他政策要求。


4. Fortify


(http://wap.friendlycc.com.cn/

Micro Focus 出品，提供端到端應用安全，可供進(jìn)行覆蓋整個(gè)軟件開(kāi)發(fā)生命周期的現場(chǎng)及按需測試。Fortify on Demand 是 Micro Focus 的應用安全即服務(wù)產(chǎn)品，提供靜態(tài)、動(dòng)態(tài)和移動(dòng)應用安全測試，以及生產(chǎn)環(huán)境中Web應用的持續監視。


5. Gauntlt


(http://wap.friendlycc.com.cn/

流行測試框架，旨在推動(dòng)易操作的安全測試及安全、開(kāi)發(fā)和運營(yíng)團隊間的溝通。GauntIt便于產(chǎn)生攻擊測試用例，且能方便地鉤入現有工具及進(jìn)程。


6. Synopsys suite


(http://wap.friendlycc.com.cn/

Synopsys提供多個(gè)應用安全測試工具，包括：


1)SAST工具Coverity


(http://wap.friendlycc.com.cn/

自動(dòng)化測試且融入持續集成/持續交付(CI/CD)管道;


2)SCA工具 Black Duck


(http://wap.friendlycc.com.cn/

采用容器及應用中的開(kāi)源和第三方代碼檢測并管理安全;


3)SeekerIAST


(http://wap.friendlycc.com.cn/

識別可暴露敏感數據的運行時(shí)安全漏洞;


以及一系列用于應用安全測試的托管服務(wù)。


其他值得考慮的DevSecOps工具


以下DevSecOps工具同樣含有上述工具提供的功能，但或多或少略有不同。


1. Aqua Security


(http://wap.friendlycc.com.cn/

在整個(gè)CI/CD管道和運行時(shí)環(huán)境中管理端到端安全，可用于所有平臺和云環(huán)境的容器及云原生應用。


2. Dome9 Arc


(http://wap.friendlycc.com.cn/

被 Check Point 收購，提供自動(dòng)化測試及安全實(shí)施，使開(kāi)發(fā)人員能夠將安全及合規融入公共云應用的構建、部署及運營(yíng)。


3. GitLab


(http://wap.friendlycc.com.cn/

該工具可將DevSecOps架構融入CI/CD過(guò)程，在提交時(shí)測試每一塊代碼，使開(kāi)發(fā)人員能夠在編程期間緩解安全漏洞，并提供涵蓋所有漏洞的儀表板。


4. Red Hat OpenShift


(http://wap.friendlycc.com.cn/

為基于容器的應用提供內置安全，比如基于角色的訪(fǎng)問(wèn)控制、以安全增強的Linux(SELinux)實(shí)現隔離，以及貫穿整個(gè)容器構建過(guò)程的核查。


5. RedLock


(http://wap.friendlycc.com.cn/

Palo Alto Networks 出品，適用于部署階段，幫助開(kāi)發(fā)人員快速發(fā)現并緩解資源配置、網(wǎng)絡(luò )架構及用戶(hù)活動(dòng)中的安全威脅，尤其是在亞馬遜S3存儲桶和彈性塊存儲(EBS)卷上。


6. SD Elements


(http://wap.friendlycc.com.cn/

出品自 Security Compass 的自動(dòng)化平臺，旨在收集客戶(hù)軟件信息，發(fā)現威脅及對策，突出相關(guān)安全控制措施以幫助公司企業(yè)實(shí)現其安全和合規目標。


7. WhiteHat Sentinel 應用安全平臺


(http://wap.friendlycc.com.cn/

該解決方案提供貫穿整個(gè)SDLC的應用安全，適用于需將安全集成進(jìn)工具中的敏捷開(kāi)發(fā)團隊，以及需持續測試以保證生產(chǎn)環(huán)境應用安全的安全團隊。


8. WhiteSource


(http://wap.friendlycc.com.cn/

用于解決開(kāi)源漏洞，可集成進(jìn)用戶(hù)的生成過(guò)程，無(wú)論用戶(hù)采用什么編程語(yǔ)言、生成工具或開(kāi)發(fā)環(huán)境。WhiteSource使用經(jīng)常更新的開(kāi)源代碼數據庫持續檢查開(kāi)源組件的安全及授權。

相關(guān)推薦

【上云季-1折驚爆價(jià)】香港/美國高性能云服務(wù)器27元起秒殺專(zhuān)場(chǎng)，上云必備，火爆開(kāi)搶>>點(diǎn)擊查看詳情<<

【全球云-高性能限量搶】高性能云主機好用能省，高性能高配置高儲存，輕松解鎖云端場(chǎng)景>>點(diǎn)擊查看詳情<<

【服務(wù)器-特價(jià)服務(wù)器】新購指定配置可享受限時(shí)特惠7折。每個(gè)用戶(hù)不限臺數 低至280元月>>點(diǎn)擊查看詳情<<