威瑞森《2018數(shù)據(jù)泄露調(diào)查報(bào)告》稱，大多數(shù)黑客攻擊仍是通過Web應(yīng)用發(fā)起?；诖?，應(yīng)用測試和防護(hù)就成為了很多公司企業(yè)的首要任務(wù)。如果會利用一些精選應(yīng)用安全工具，這項(xiàng)工作還可以完成得更輕松些。下面便為大家列出2019最佳應(yīng)用安全工具，并附上各自的最有效使用場景。

[[250713]]

本列表信息來源包括：

• IT中央站(ITCS)安全應(yīng)用測試工具列表(2018年9月)，該列表基于ITCS龐大的IT專業(yè)社區(qū)個(gè)人使用體驗(yàn)評分得出。
• Gartner《應(yīng)用防護(hù)市場指南》(2017年6月)。
• Gartner《應(yīng)用安全測試魔力象限》(2018年3月)。
• 持續(xù)更新的SecTools網(wǎng)絡(luò)安全工具125強(qiáng)。雖然是針對網(wǎng)絡(luò)的安全工具，但其中一些對應(yīng)用測試也很有效。

本應(yīng)用安全工具列表中既包含商業(yè)產(chǎn)品也包含免費(fèi)工具。沒附上報(bào)價(jià)的商業(yè)產(chǎn)品往往與該供應(yīng)商其他產(chǎn)品捆綁銷售，如果量大或訂閱時(shí)間長會有折扣。一些免費(fèi)工具，比如 Burp Suite，也有提供更多功能的付費(fèi)版。

按字母順序表排列的最佳應(yīng)用安全工具奉上：

1. Arxan Application Protection

該工具可用于運(yùn)行時(shí)應(yīng)用自保護(hù)(RASP)。Arxan Application Protection 可抵御逆向工程和代碼篡改，尤其適用于手機(jī)應(yīng)用。

• 目標(biāo)用戶：高級開發(fā)人員
• 應(yīng)用聚焦：RASP
• 封裝：Mac、Windows、安卓、iOS、Linux
• 定價(jià)：請聯(lián)系供應(yīng)商

2. 新思科技出品的黑鴨子( Black Duck )

黑鴨子軟件可在應(yīng)用開發(fā)過程中自動化開源安全及許可合規(guī)，可用于檢測、監(jiān)視、緩解和管理整個(gè)開源應(yīng)用資產(chǎn)組合。新思科技一直在并購其他應(yīng)用安全供應(yīng)商，比如Coverity和Codenomicon。

Gartner魔力象限領(lǐng)頭羊

• 目標(biāo)用戶：開源項(xiàng)目開發(fā)者
• 應(yīng)用聚焦：開源應(yīng)用測試
• 封裝：軟件即服務(wù)(SaaS)
• 定價(jià)：現(xiàn)場演示版，請聯(lián)系供應(yīng)商

3. PortSwigger出品的 Burp Suite

Burp Suite 是多年來不斷擴(kuò)展和增強(qiáng)的流行滲透測試工具集之一。其所有工具的HTTP消息、駐留、身份驗(yàn)證、代理、日志和報(bào)警處理與顯示都共享同一個(gè)框架。付費(fèi)版包含更多手動及自動化測試工具，并與Jenkins之類其他框架進(jìn)行了集成，且有文檔完備的 REST API。

ITCS排名第七

• 目標(biāo)用戶：高級開發(fā)人員
• 應(yīng)用聚焦：Web應(yīng)用滲透測試與漏洞掃描器
• 封裝：Mac、Windows、Linux、JAR
• 定價(jià)：各版本定價(jià)不同，有免費(fèi)版和最高4,000美元/年的付費(fèi)版，帶60天免費(fèi)試用期

4. CA/Veracode應(yīng)用安全平臺

Veracode提供一系列安全測試與威脅緩解技術(shù)，全部托管在中心平臺上，開發(fā)和生產(chǎn)情況下都可以用來查找漏洞和評估風(fēng)險(xiǎn)。該產(chǎn)品已推出多年，有廣泛的用戶基礎(chǔ)，數(shù)10萬不同應(yīng)用都曾用它進(jìn)行測試和評估。Veracode的最小安裝和完全安裝都非常好用，廣受用戶好評。

ITCS排名第一，Gartner魔力象限領(lǐng)跑者

• 目標(biāo)用戶：開發(fā)人員
• 應(yīng)用聚焦：靜態(tài)及動態(tài)代碼掃描
• 封裝：SaaS
• 定價(jià)：聯(lián)系供應(yīng)商

5. Checkmarx

Checkmarx提供一系列的應(yīng)用測試工具，包括靜態(tài)及動態(tài)代碼掃描工具和用于分析開源內(nèi)容的工具。這些工具支持一系列編程語言，應(yīng)用廣泛，可以持續(xù)監(jiān)視應(yīng)用程序以檢測漏洞。該公司收購了Codebashing，并將之集成進(jìn)自己的軟件，擴(kuò)展其安全編碼培訓(xùn)功能。

ITCS排名第二，Gartner魔力象限領(lǐng)先者

• 目標(biāo)用戶：開發(fā)人員
• 應(yīng)用聚焦：靜態(tài)及動態(tài)代碼掃描，安全編碼培訓(xùn)
• 封裝：SaaS和現(xiàn)場
• 定價(jià)：聯(lián)系供應(yīng)商，免費(fèi)演示版

6. MicroFocus出品的Fortify

Fortify集成開發(fā)與測試工具有SaaS、現(xiàn)場版和移動版，可提供持續(xù)應(yīng)用監(jiān)視。盡管企業(yè)監(jiān)管者很多，但從惠普軟件組歸入MicroFocus的Fortify工具歷史悠久，安裝應(yīng)用廣泛。Fortify還可以集成進(jìn) Eclipse IDE 和 Visual Studio 中。

ITCS排名第三，Gartner魔力象限領(lǐng)先者

• 目標(biāo)用戶：開發(fā)人員
• 應(yīng)用聚焦：靜態(tài)及移動代碼掃描
• 封裝：SaaS和現(xiàn)場版
• 定價(jià)：15天免費(fèi)試用，聯(lián)系供應(yīng)商

7. IBM Security AppScan

IBM的應(yīng)用安全軟件很多，其中就有 Security AppScan。共有3個(gè)版本：源碼版、標(biāo)準(zhǔn)版和企業(yè)版。該軟件最為著名的一點(diǎn)就是可以導(dǎo)入來自人工代碼審查、滲透測試乃至競爭對手軟件漏洞掃描器的多種數(shù)據(jù)格式，還有移動版可以掃描iOS和安卓應(yīng)用。

ITCS排名第四，Gartner魔力象限領(lǐng)跑者

• 目標(biāo)用戶：大企業(yè)
• 應(yīng)用聚焦：應(yīng)用代碼掃描，包括移動、靜態(tài)和動態(tài)方法。
• 封裝：SaaS和現(xiàn)場
• 定價(jià)：30天免費(fèi)試用，聯(lián)系供應(yīng)商

8. Rogue Wave 出品的Klocwork

Klocwork提供的功能包括靜態(tài)應(yīng)用掃描、持續(xù)代碼集成和代碼架構(gòu)可視化工具，還內(nèi)建有CERT、CWE和OWASP等各種安全標(biāo)準(zhǔn)的檢查工具。Klocwork可標(biāo)記代碼注入、跨站腳本、內(nèi)存泄漏和其他脆弱編碼操作。

ITCS排名第九

• 目標(biāo)用戶：開發(fā)人員
• 應(yīng)用聚焦：靜態(tài)代碼分析器
• 封裝：SaaS
• 定價(jià)：免費(fèi)試用

9. Qualys Web App Scanning

Qualys是應(yīng)用防護(hù)市場的老牌玩家，Qualys Web App Scanning 可查找并分類企業(yè)中所有Web應(yīng)用，執(zhí)行動態(tài)掃描，報(bào)告惡意軟件感染，并提供修復(fù)代碼的方法。該產(chǎn)品是名為 Cloud Apps 的完整產(chǎn)品組合中的一部分。Cloud Apps 每年執(zhí)行數(shù)十億次掃描，還包含有基礎(chǔ)設(shè)施和終端安全工具，并支持其他Web應(yīng)用防火墻。這些服務(wù)都有免費(fèi)的刪減版，還有各種可用于SSL網(wǎng)站、證書和瀏覽器配置的免費(fèi)檢查工具。

ITCS排名第八

• 目標(biāo)用戶：Web應(yīng)用開發(fā)人員
• 應(yīng)用聚焦：動態(tài)應(yīng)用掃描
• 封裝：SaaS
• 定價(jià)：免費(fèi)版和30天免費(fèi)試用版，各種訂閱和使用費(fèi)

10. Imperva出品的Prevoty

Prevoty是又一款用于運(yùn)行時(shí)應(yīng)用自保護(hù)(RASP)的工具，可抵御逆向工程和代碼篡改，尤其適用于手機(jī)應(yīng)用。

• 目標(biāo)用戶：開發(fā)人員
• 應(yīng)用聚焦：RASP
• 封裝：SaaS
• 定價(jià)：聯(lián)系供應(yīng)商

11. Selenium

Selenium有用于自動化測試Web應(yīng)用及其在各瀏覽器中表現(xiàn)的一整套工具，配合其自身Selenium腳本集成開發(fā)環(huán)境使用。這套工具以瀏覽器擴(kuò)展的形式實(shí)現(xiàn)，可供錄制、編輯和調(diào)試測試，還可以錄制和重放其腳本。Selenium還為檢測手機(jī)及Web瀏覽器安全問題的各種插件提供廣泛的第三方支持。

• 目標(biāo)用戶：應(yīng)用開發(fā)人員
• 應(yīng)用聚焦：Web應(yīng)用測試
• 封裝：需自備服務(wù)器，支持多種編程語言，包括 C#、Ruby和Python
• 定價(jià)：免費(fèi)

12. OWASP創(chuàng)建的WebGoat

WebGoat是開放Web應(yīng)用安全計(jì)劃(OWASP)創(chuàng)建的特設(shè)不安全Web應(yīng)用。OWASP維護(hù)著事實(shí)上的關(guān)鍵Web漏洞列表。WebGoat就是個(gè)教學(xué)工具，向用戶展示常見漏洞利用的效果和在應(yīng)用中規(guī)避漏洞的必要性。WebGoat提供大量編碼樣例和其他小技巧，面世15年來已出到第八版。

• 目標(biāo)用戶：開發(fā)人員
• 應(yīng)用聚焦：代碼注入、跨站腳本和不安全憑證等問題的測試
• 封裝：JAR文件
• 定價(jià)：免費(fèi)

13. OWASP創(chuàng)建的 Zed Attack 代理

Zed Attack 同樣來自O(shè)WASP，是開源社區(qū)的工作成果，用于在Web應(yīng)用開發(fā)階段自動化查找安全漏洞。Zed Attack 處于用戶App和瀏覽器之間，攔截Web流量并檢查其中有無漏洞。

ITCS排名第六

• 目標(biāo)用戶：開發(fā)人員，尤其是開發(fā)新手
• 應(yīng)用聚焦：僅Web應(yīng)用
• 封裝：Windows、Linux、Mac 和 Docker app，要求有 Java 7+
• 定價(jià)：免費(fèi)

威瑞森《2018數(shù)據(jù)泄露調(diào)查報(bào)告》：https://enterprise.verizon.com/resources/reports/dbir/

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文