惡意軟件分析、滲透測試、計算機取證——GitHub托管著一系列引人注目的安全工具、足以應對各類規(guī)模下計算環(huán)境的實際需求。

GitHub上的十一款熱門開源安全工具

作為開源開發(fā)領域的基石，“所有漏洞皆屬淺表”已經成為一條著名的原則甚至是信條。作為廣為人知的Linus定律，當討論開源模式在安全方面的優(yōu)勢時，開放代碼能夠提高項目漏洞檢測效率的理論也被IT專業(yè)人士們所普遍接受。

現在，隨著GitHub等高人氣代碼共享站點的相繼涌現，整個開源行業(yè)開始越來越多地幫助其它企業(yè)保護自己的代碼與系統(tǒng)，并為其提供多種多樣的安全工具與框架，旨在完成惡意軟件分析、滲透測試、計算機取證以及其它同類任務。

以下十一個基本安全項目全部立足于GitHub。任何一位對安全代碼及系統(tǒng)抱有興趣的管理員都有必要對它們加以關注。

Metasploit框架

作為由開源社區(qū)及安全企業(yè)Rapid7一手推動的項目，Metasploit框架是一套專門用于滲透測試的漏洞開發(fā)與交付系統(tǒng)。它的作用類似于一套漏洞庫，能夠幫助管理人員通過定位弱點實現應用程序的安全性評估，并在攻擊者發(fā)現這些弱點之前采取補救措施。它能夠被用于對Windows、Linux、Mac、Android、iOS以及其它多種系統(tǒng)平臺進行測試。

“Metasploit為安全研究人員提供了一種途徑，能夠以相對普遍的格式對安全漏洞加以表達，”Rapid7公司工程技術經理Tod Beardsley指出。“我們針對全部設備類型打造出數千種模塊——包括普通計算機、手機、路由器、交換機、工業(yè)控制系統(tǒng)以及嵌入式設備。我?guī)缀跸氩怀鲇心姆N軟件或者固件無法發(fā)揮Metasploit的出色實用性。”

項目鏈接：https://github.com/rapid7/metasploit-framework

Brakeman

Brakeman是一款專門面向Ruby on Rails應用程序的漏洞掃描工具，同時也針對程序中一部分數值向另一部分傳遞的流程執(zhí)行數據流分析。用戶無需安裝整套應用程序堆棧即可使用該軟件，Brakeman締造者兼維護者Justin Collins解釋道。

盡管速度表現還稱不上無與倫比，但Brakeman在大型應用程序掃描方面只需數分鐘、這樣的成績已經超越了“黑盒”掃描工具。雖然最近已經有針對性地作出了修復，但用戶在使用Brakeman時仍然需要留意誤報狀況。Brakeman應該被用于充當網站安全掃描工具。Collins目前還沒有將其拓展至其它平臺的計劃，不過他鼓勵其他開發(fā)人員對項目代碼作出改進。

項目鏈接：https://github.com/presidentbeef/brakeman

Cuckoo Sandbox

Cuckoo Sandbox是一款自動化動態(tài)惡意軟件分析系統(tǒng)，專門用于檢查孤立環(huán)境當中的可疑文件。

“這套解決方案的主要目的是在啟動于Windows虛擬機環(huán)境下之后，自動執(zhí)行并監(jiān)控任何給定惡意軟件的異?；顒?。當執(zhí)行流程結束之后，Cuckoo會進一步分析收集到的數據并生成一份綜合性報告，用于解釋惡意軟件的具體破壞能力，”項目創(chuàng)始人Claudio Guarnieri表示。

Cuckoo所造成的數據包括本地功能與Windows API調用追蹤、被創(chuàng)建及被刪除的文件副本以及分析機內存轉儲數據。用戶可以對該項目的處理與報告機制進行定制，從而將報告內容生成為不同格式，包括JSON與HTML。Cuckoo Sandbox已經于2010年開始成為谷歌代碼之夏中的項目之一。

項目鏈接：https://github.com/cuckoobox/cuckoo

Moloch

Moloch是一套可擴展式IPv4數據包捕捉、索引與數據庫系統(tǒng)，能夠作為簡單的Web界面實現瀏覽、搜索與導出功能。它借助HTTPS與HTTP機制實現密碼支持或者前端Apahce能力，而且無需取代原有IDS引擎。

該軟件能夠存儲并檢索標準PCAP格式下的所有網絡流量，并能夠被部署到多種系統(tǒng)之上、每秒流量處理能力也可擴展至數GB水平。項目組件包括捕捉、執(zhí)行單線程C語言應用程序、用戶也可以在每臺設備上運行多個捕捉進程;一套查看器，這實際是款Node.js應用程序、針對Web接口以及PCAP文件傳輸;而Elasticsearch數據庫技術則負責搜索類任務。

項目鏈接：https://github.com/aol/moloch

MozDef: Mozilla防御平臺

這款Mozilla防御平臺，也就是MozDef，旨在以自動化方式處理安全事件流程，從而為防御者帶來與攻擊者相對等的能力：一套實時集成化平臺，能夠實現監(jiān)控、反應、協(xié)作并改進相關保護功能，該項目締造者Jeff Bryner解釋稱。

MozDef對傳統(tǒng)SEIM（即安全信息與事件管理）功能作出擴展，使其具備了協(xié)同事件響應、可視化以及易于集成至其它企業(yè)級系統(tǒng)的能力，Bryner指出。它采用Elasticsearch、Meteor以及MongoDB收集大量不同類型的數據，并能夠根據用戶需求以任意方式加以保存。“大家可以將MozDef視為一套立足于Elasticsearch之上的SIEM層，能夠帶來安全事件響應任務流程，”Bryner表示。該項目于2013年在Mozilla公司內部開始進行概念驗證。

項目鏈接：https://github.com/jeffbryner/MozDef

MIDAS

作為由Etsy與Facebook雙方安全團隊協(xié)作打造的產物，MIDAS是一套專門針對Mac設備的入侵檢測分析系統(tǒng)框架（即Mac intrusion detection analysis systems，縮寫為MIDASes）。這套模塊框架提供輔助工具及示例模型，能夠對OS X系統(tǒng)駐留機制中出現的修改活動進行檢測。該項目基于《自制防御安全》與《攻擊驅動防御》兩份報告所闡述的相關概念。

“我們發(fā)布這套框架的共同目標在于促進這一領域的探討熱情，并為企業(yè)用戶提供解決方案雛形、從而對OS X終端當中常見的漏洞利用與駐留模式加以檢測，”Etsy與Facebook雙方安全團隊在一份說明文檔中指出。MIDAS用戶能夠對模塊的主機檢查、驗證、分析以及其它針對性操作進行定義。

項目鏈接：https://github.com/etsy/MIDAS

Bro

Bro網絡分析框架“與大多數人所熟知的入侵檢測機制存在著本質區(qū)別，”Bro項目首席開發(fā)者兼加州伯克利大學國際計算機科學協(xié)會高級研究員Robin Sommer指出。

盡管入侵檢測系統(tǒng)通常能夠切實匹配當前存在的各類攻擊模式，但Bro是一種真正的編程語言，這使其相較于那些典型系統(tǒng)更為強大，Sommer表示。它能夠幫助用戶立足于高語義層級執(zhí)行任務規(guī)劃。

Bro的目標在于搜尋攻擊活動并提供其背景信息與使用模式。它能夠將網絡中的各設備整理為可視化圖形、深入網絡流量當中并檢查網絡數據包;它還提供一套更具通用性的流量分析平臺。

項目鏈接：https://github.com/bro/bro

OS X Auditor

OS X Auditor是一款免費計算機取證工具，能夠對運行系統(tǒng)之上或者需要分析的目標系統(tǒng)副本當中的偽跡進行解析與散列處理。包括內核擴展、系統(tǒng)與第三方代理及后臺程序、不適用的系統(tǒng)以及第三方啟動項、用戶下載文件外中已安裝代理。用戶的受隔離文件則可以提取自Safari歷史記錄、火狐瀏覽器cookies、Chrome歷史記錄、社交與郵件賬戶以及受審計系統(tǒng)中的Wi-Fi訪問點。

項目鏈接：https://github.com/jipegit/OSXAuditor

The Sleuth Kit

The Sleuth Kit是一套庫與多種命令行工具集合，旨在調查磁盤鏡像，包括各分卷與文件系統(tǒng)數據。該套件還提供一款插件框架，允許用戶添加更多模塊以分析文件內容并建立自動化系統(tǒng)。

作為針對微軟及Unix系統(tǒng)的工具組合，Sleuth Kit允許調查人員從鏡像當中識別并恢復出事件響應過程中或者自生系統(tǒng)內的各類證據。在Sleuth Kit及其它工具之上充當用戶界面方案的是Autopsy，這是一套數字化取證平臺。“Autopsy更側重于面向用戶，”Sleuth Kit與Autopsy締造者Brian Carrier指出。“The Sleuth Kit更像是一整套能夠為大家納入自有工具的庫，只不過用戶無需對該訓加以直接使用。”

項目鏈接：https://github.com/sleuthkit/sleuthkit

OSSEC

基于主機的入侵檢測系統(tǒng)OSSEC能夠實現日志分析、文件完整性檢查、監(jiān)控以及報警等功能，而且能夠順利與各種常見操作系統(tǒng)相對接，包括Linux、Mac OS X、Solaris、AIX以及Windows。

OSSEC旨在幫助企業(yè)用戶滿足合規(guī)性方面的各類要求，包括PCI與HIPAA，而且能夠通過配置在其檢測到未經授權的文件系統(tǒng)修改或者嵌入至軟件及定制應用日志文件的惡意活動時發(fā)出警報。一臺中央管理服務器負責執(zhí)行不同操作系統(tǒng)之間的策略管理任務。OSSEC項目由Trend Micro公司提供支持。

項目鏈接：https://github.com/ossec/ossec-hids

PassiveDNS

PassiveDNS能夠以被動方式收集DNS記錄，從而實現事故處理輔助、網絡安全監(jiān)控以及數字取證等功能。該軟件能夠通過配置讀取pcap（即數據包捕捉）文件并將DNS數據輸出為日志文件或者提取來自特定接口的數據流量。

這款工具能夠作用于IPv4與IPv6流量、在TCP與UDP基礎上實現流量解析并通過緩存內存內DNS數據副本的方式在限制記錄數據量的同時避免給取證工作帶來任何負面影響。

項目鏈接：https://github.com/gamelinux/passivedns

英文原文：http://www.infoworld.com/slideshow/163151/11-open-source-security-tools-catching-fire-github-249652