讓開發(fā)人員全心全意投入應(yīng)用安全(APPSEC)的關(guān)鍵方法之一，就是清除掉將安全過程嵌入日常工作流時遇到的諸多麻煩。DevSecOps取得成功的一大因素，在于公司有能力實現(xiàn)開發(fā)人員不會痛恨的安全工具。

[[231469]]

為此，公司企業(yè)需改善安全測試工具包與開發(fā)人員所用其他軟件開發(fā)工具之間的集成。值得慶幸的是，這種集成還沒到需要搶銀行的燒錢程度。雖然也不是完全零花費，但確實大多數(shù)能良好集成進持續(xù)工作流的DevOps友好安全工具往往是免費的。

下面就列出其中幾個最具前景的DevOps友好免費工具。

1. OWASP Zed Attack Proxy (ZAP)

由推出行業(yè)標準基準 OWASP 10大漏洞列表的同一組織領(lǐng)導(dǎo)，OWASP ZAP 賦予開發(fā)人員免費自動化安全掃描的能力。ZAP已被很多企業(yè)采納，其蘊含的一大DevOps優(yōu)勢，是擁有一款評價很好的，能幫開發(fā)團隊無縫融合進DevOps工具鏈的Jenkins插件。

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

2. Gauntlt

作為專門為嵌入持續(xù)集成(CI)流水線而生的安全測試框架，Gauntlt在開發(fā)界和安全界都有大批擁躉。它之所以如此受歡迎，是因為能讓DevOps團隊自動化測試所用Cucumber框架中許多現(xiàn)有安全工具發(fā)揮作用。

http://gauntlt.org

3. BDD-Security

BDD-Security提供了安全驗收測試框架的額外選擇。該工具采用“行為驅(qū)動開發(fā)”的概念幫助團隊設(shè)立并自動測試其安全規(guī)范，且同樣基于Cucumber測試框架。BDD-Security 預(yù)置支持 Selenium/WebDriver、OWASP ZAP、SSLyz和Nessus，是一款無需訪問目標源代碼即可工作的外部掃描器。

https://github.com/continuumsecurity/bdd-security

4. Git-Hound

如果缺乏足夠的過程或工具幫助開發(fā)人員約束敏感數(shù)據(jù)，DevOps往GitHub上倉促提交代碼的行為無疑會引入很多風險。最近兩年我們見證了數(shù)起相當引人注目的GitHub代碼倉庫敏感數(shù)據(jù)泄露事件，都是因為松懈的安全實踐引起的。比如2016年的Uber數(shù)據(jù)泄露事件。Git-Hound是一款旨在減少此類敏感數(shù)據(jù)泄露風險的免費安全工具，可以提供對敏感數(shù)據(jù)提交的自動檢查，避免敏感數(shù)據(jù)被提交到代碼倉庫中。

https://github.com/ezekg/git-hound

5. Brakeman

Brakeman是一款開源靜態(tài)代碼分析工具，有著成熟而活躍的社區(qū)支持，能夠捕獲 Ruby on Rails 應(yīng)用中的安全漏洞。自2013年首度進入人們視線以來，Brakeman發(fā)展一直很好，最近更是打破了1100萬下載大關(guān)。

https://brakemanscanner.org

6. FindSecurityBugs

與Brakeman類似，F(xiàn)indSecurityBugs也是一款免費靜態(tài)代碼分析攻擊，只不過分析目標主要集中在Java應(yīng)用程序上。它能嵌入集成開發(fā)環(huán)境(IDE)，有適用于Jenkins、Eclipse和Maven等多種平臺的有用插件。

https://find-sec-bugs.github.io

7. Archery

Archery今年早些時候才在黑帽亞洲的武器庫上亮相，是本列表中相對較年輕的一員，但絕對有實力脫穎而出。這是一款開源漏洞評估及管理工具，用Selenium執(zhí)行動態(tài)身份驗證掃描。Archery的 REST API 能讓開發(fā)人員方便地將之融入DevOps工具集，應(yīng)會受到開發(fā)人員的廣泛歡迎。

https://github.com/toolswatch/blackhat-arsenaltools/blob/master/vulnerability_assessment/archery.md

8. CIS Kubernetes 標準檢查程序

DevOps團隊紛紛投入Kubernets的懷抱以有效編配其容器化的工作負載。Kubernetes為容器化應(yīng)用部署提供了強有力的可擴展工具，但正如任何強力可擴展工具所需的，它也要求有一些重要的安全實踐以確保過程中的風險被控制在最小。幸運的是，互聯(lián)網(wǎng)安全中心(CIS)發(fā)展出了一整套強化Kubernetes實現(xiàn)的建議。該工具提供一套很有價值的自動化腳本，可幫助公司企業(yè)遵從那些標準。

https://github.com/neuvector/kubernetes-cis-benchmark

9. Cloudsploit

說到企業(yè)AWS安全，最近兩年的尷尬事還真不少。為了更快推送代碼，很多軟件公司在開發(fā)環(huán)境安全保護方面可謂十分松懈，也由此導(dǎo)致了數(shù)起引人注目的數(shù)據(jù)泄露事件。Cloudsploit幫助DevOps團隊掃描其AWS實例，查找能直接導(dǎo)致此類數(shù)據(jù)曝光的各種配置錯誤和其他安全風險。

https://github.com/cloudsploit/scans

10. InSpec

InsSpec由基礎(chǔ)設(shè)施即代碼提供商Chef主導(dǎo)，提供將合規(guī)、安全和策略要求融入到基礎(chǔ)設(shè)施即代碼思想中的工具。該開源項目促進了將策略轉(zhuǎn)變?yōu)槿祟惡蜋C器可讀的語言。這是一個平臺無關(guān)的項目，不單單是Chef可用，Puppet環(huán)境也能用，Docker、Azure、AWS等其他平臺和系統(tǒng)中同樣表現(xiàn)良好。

https://www.inspec.io

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文