28款DevSecOps工具助力安全開發(fā)

作者：nana 2019-06-06 12:11:42

將安全融入開發(fā)過程，更早捕獲并修復(fù)應(yīng)用漏洞，你需要這五類共28款DevSecOps工具。下面就按核心門類為您呈上多款優(yōu)秀DevSecOps工具。

將安全融入開發(fā)過程，更早捕獲并修復(fù)應(yīng)用漏洞，你需要這五類共28款DevSecOps工具。

DevSecOps是將安全集成到整個(gè)應(yīng)用開發(fā)周期的過程，是從內(nèi)到外強(qiáng)化應(yīng)用，使其能夠抵御各種潛在威脅的理想方式。因?yàn)楹芏喙酒髽I(yè)不斷開發(fā)應(yīng)用以滿足客戶和商業(yè)合作伙伴的需求，DevSecOps的吸引力也與日俱增。

敏捷開發(fā)方法與DevOps操作幫助公司企業(yè)達(dá)成持續(xù)開發(fā)的目標(biāo)。云原生應(yīng)用架構(gòu)也成為了DevSecOps運(yùn)動(dòng)的有力貢獻(xiàn)者，推動(dòng)采用公共云提供商、容器技術(shù)和容器平臺(tái)為應(yīng)用提供計(jì)算能力。DevSecOps將安全過程與工具集成進(jìn)工作流并加以自動(dòng)化，擺脫了傳統(tǒng)方法按時(shí)間點(diǎn)進(jìn)行的潛在干擾，是個(gè)無縫且持續(xù)的過程。

咨詢公司 Data Bridge Market Research 稱，鑒于網(wǎng)絡(luò)安全威脅數(shù)量與危害性的持續(xù)上升，全球DevSecOps市場(chǎng)預(yù)計(jì)將從2018年的14.7億美元增長(zhǎng)至2026年的136.3億美元。

市場(chǎng)繁榮之下，DevSecOps工具必將呈現(xiàn)百花齊放百家爭(zhēng)鳴的局面。下面就按核心門類為您呈上多款優(yōu)秀DevSecOps工具。

警報(bào)：向開發(fā)人員通報(bào)異常

開發(fā)應(yīng)用的時(shí)候很容易忽略掉安全漏洞。下面的工具為開發(fā)人員提供了潛在安全異常及缺陷的警報(bào)功能，可供開發(fā)人員及時(shí)調(diào)查并修復(fù)這些漏洞，不至于走得太遠(yuǎn)回不了頭。有些工具專用于警報(bào)功能，比如開源的Alerta 。其他工具則兼具測(cè)試等別的功能，比如 Contrast Assess。

1. Alerta

(https://alerta.io/)

該開源工具可將多個(gè)來源的信息整合去重，提供快速可視化功能。Alerta與Prometheus、Riemann、Nagios、Cloudwatch及其他監(jiān)視/管理服務(wù)集成，開發(fā)人員可通過API按需定制Alerta。

2. Contrast Assess

(https://www.contrastsecurity.com/interactive-application-security-testing-iast)

作為一款互動(dòng)應(yīng)用安全測(cè)試(IAST)工具，Contrast Assess 與用戶應(yīng)用集成，在后臺(tái)持續(xù)監(jiān)視代碼，并在發(fā)現(xiàn)安全漏洞時(shí)發(fā)出警報(bào)。據(jù)稱即便是非安全開發(fā)人員也可使用 Contrast Assess 自行識(shí)別并修復(fù)漏洞。

3. Contrast Protect

(https://www.contrastsecurity.com/runtime-application-self-protection-rasp)

該運(yùn)行時(shí)應(yīng)用自保護(hù)(RASP)工具采用了 Contrast Assess 同款嵌入式代理。Contrast Protect 在生產(chǎn)環(huán)境中查找漏洞利用程序和未知威脅，并將結(jié)果提交給安全信息及事件管理(SIEM)控制臺(tái)、防火墻或其他安全工具。

4. ElastAlert

(https://elastalert.readthedocs.io/en/latest/)

ElastAlert提供近實(shí)時(shí)接收警報(bào)的框架，可接收來自Elasticsearch數(shù)據(jù)的安全異常、流量激增及其他模式。ElastAlert查詢Elasticsearch并根據(jù)一系列規(guī)則比較這些數(shù)據(jù)。一旦出現(xiàn)匹配，ElastAlert便發(fā)出警報(bào)并隨附建議動(dòng)作。

自動(dòng)化：發(fā)現(xiàn)并修復(fù)缺陷

大多數(shù)DevSecOps工具都提供一定程度的自動(dòng)化。此類工具自動(dòng)掃描、發(fā)現(xiàn)并修復(fù)安全缺陷，只是自動(dòng)化程度各有不同，從條件式事件驅(qū)動(dòng)的自動(dòng)化到運(yùn)用深度學(xué)習(xí)技術(shù)的自動(dòng)化都有。

1. CodeAI

(http://www.qbitlogic.com/codeai/)

旨在通過深度學(xué)習(xí)技術(shù)自動(dòng)查找并修復(fù)源代碼中的安全漏洞，號(hào)稱可為開發(fā)人員提供可供參考的解決方案列表，而不僅僅是安全問題列表。其供應(yīng)商QbitLogic宣稱，已為CodeAI饋送了數(shù)百萬個(gè)現(xiàn)實(shí)世界漏洞修復(fù)樣本供訓(xùn)練。

2. Parasoft tool suite

(https://www.parasoft.com/)

Parasoft提供包括應(yīng)用開發(fā)安全測(cè)試在內(nèi)的多種自動(dòng)化工具：

1)Parasoft C/C++test

(https://www.parasoft.com/products/ctest)

用于開發(fā)過程早期缺陷識(shí)別;

2)Parasoft Insure++

(https://www.parasoft.com/products/insure)

可以查找不規(guī)范編程及內(nèi)存訪問錯(cuò)誤;

3)Parasoft Jtest

(https://www.parasoft.com/products/jtest)

用于Java軟件開發(fā)測(cè)試;

4) Parasoft dotTEST

(https://www.parasoft.com/products/jtest)

以深度靜態(tài)分析和高級(jí)覆蓋作為 Visual Studio 工具的補(bǔ)充。

3. Red Hat Ansible Automation

(https://www.redhat.com/en/technologies/management/ansible)

該工具包含三個(gè)模塊——Ansible Tower、Ansible Engine 和 Red Hat Ansible Network Automation，可作為無代理IT自動(dòng)化技術(shù)單獨(dú)或聯(lián)合使用。盡管不是專門的安全工具，Ansible Automation 卻可供用戶定義規(guī)則以確定自身軟件開發(fā)項(xiàng)目中哪些部分是安全的。

4. StackStorm

(https://stackstorm.com)：

該開源工具號(hào)稱“可進(jìn)行條件式運(yùn)營(yíng)”，其事件驅(qū)動(dòng)的自動(dòng)化能在檢測(cè)到安全漏洞時(shí)提供腳本化的修復(fù)與響應(yīng)，并附有持續(xù)部署、ChatOps優(yōu)化等功能。

5. Veracode

(https://www.veracode.com/devsecops)：

該公司提供DevSecOps環(huán)境中廣泛使用的一系列自動(dòng)化安全工具，包括在代碼編寫時(shí)即時(shí)自動(dòng)掃描的Greenlight;在沙箱中掃描代碼漏洞的 Developer Sandbox;識(shí)別漏洞組件的 Software Composition Analysis (SCA);以及識(shí)別應(yīng)用缺陷的 Static Analysis。

儀表板：開發(fā)過程可見性

專用DevSecOps儀表板工具可使用戶在同一圖形界面中查看并共享從開發(fā)伊始到運(yùn)營(yíng)過程中的安全信息。有些DevSecOps應(yīng)用，比如ThreatModeler和Parasoft已自帶儀表板。

1. Grafana

(https://grafana.com/)

該開源分析平臺(tái)允許用戶創(chuàng)建自定義儀表板，聚合所有相關(guān)數(shù)據(jù)以可視化及查詢安全數(shù)據(jù)。如果不想自行構(gòu)建，還可以在其網(wǎng)站上選用社區(qū)構(gòu)建的儀表板。

2. Kibana

(https://www.elastic.co/products/kibana)

如果你使用Elasticsearch，該開源工具可在統(tǒng)一圖形界面中集成成千上萬的日志條目，包括運(yùn)營(yíng)數(shù)據(jù)、時(shí)間序列分析、應(yīng)用監(jiān)視等等。

威脅建模：識(shí)別并排序應(yīng)用風(fēng)險(xiǎn)

威脅建模DevSecOps工具用以在復(fù)雜的攻擊界面中識(shí)別、預(yù)測(cè)并定義威脅，以便用戶可以做出主動(dòng)安全決策。有些工具可根據(jù)用戶提供的系統(tǒng)及應(yīng)用信息自動(dòng)構(gòu)建威脅模型，并提供可視化界面以幫助安全及非安全人員探索威脅及其潛在影響。

1. IriusRisk

(https://continuumsecurity.net/threat-modeling-tool/)

出自 Continuum Security 的解決方案，既可云部署，也可現(xiàn)場(chǎng)部署，能以基于問卷的界面自動(dòng)化風(fēng)險(xiǎn)及需求分析，并設(shè)計(jì)出威脅模型和技術(shù)性安全要求。IriusRisk還可幫助用戶管理代碼構(gòu)建及安全測(cè)試階段。

2. ThreatModeler

(https://threatmodeler.com/)

該自動(dòng)化威脅建模系統(tǒng)有兩個(gè)版本：AppSec版和云版。在提供了用戶應(yīng)用或系統(tǒng)的功能性信息后，ThreatModeler會(huì)基于更新的威脅情報(bào)自動(dòng)就整個(gè)攻擊界面進(jìn)行數(shù)據(jù)分析和潛在威脅識(shí)別。

3. OWASP Threat Dragon

(https://www.owasp.org/index.php/OWASP_Threat_Dragon)

一款基于Web的開源工具，提供系統(tǒng)圖解和用于自動(dòng)化威脅建模與緩解的規(guī)則引擎。Threat Dragon 承諾可與其他軟件開發(fā)生命周期(SDLC)工具無縫集成，且界面易于使用。

測(cè)試：在上線前查找安全漏洞

在開發(fā)過程中測(cè)試應(yīng)用以找出潛在漏洞是DevSecOps的關(guān)鍵部分，能夠事先發(fā)現(xiàn)安全漏洞，避免漏洞被黑客利用。盡管其他工具往往包含了測(cè)試功能，比如Parasoft出品的那些，下列工具仍然在應(yīng)用安全測(cè)試上表現(xiàn)強(qiáng)勁。

1. BDD-Security

(https://continuumsecurity.net/bdd-security/)

該出自 Continuum Security 的開源框架可使安全人員在敏捷開發(fā)過程中測(cè)試行為驅(qū)動(dòng)開發(fā)(BDD)語言編寫的功能及非功能性安全場(chǎng)景。此BDD框架旨在使安全功能獨(dú)立于應(yīng)用特定的導(dǎo)航邏輯，讓同樣的安全要求能夠更容易地應(yīng)用到多個(gè)應(yīng)用程序上。

2. Checkmarx CxSAST

(https://www.checkmarx.com/products/static-application-security-testing/)

可對(duì)25種編程及腳本語言進(jìn)行未編譯/未構(gòu)建源代碼掃描的靜態(tài)應(yīng)用安全測(cè)試(SAST)工具，能在SDLC早期發(fā)現(xiàn)成百上千種安全漏洞。CxSAST兼容所有集成開發(fā)環(huán)境(IDE)，是Checkmarx軟件暴露平臺(tái)的一部分——該平臺(tái)可在DevOps所有階段植入安全。Checkmarx的交互式應(yīng)用安全測(cè)試(IAST)工具可檢測(cè)運(yùn)行中應(yīng)用的安全漏洞。

3. Chef InSpec

(https://github.com/inspec/inspec)

整個(gè)開發(fā)過程中的每一階段都可以運(yùn)用該開源工具自動(dòng)化安全測(cè)試以確保針對(duì)傳統(tǒng)服務(wù)器及容器和云API的合規(guī)、安全及其他政策要求。

4. Fortify

(https://www.microfocus.com/en-us/solutions/application-security)

Micro Focus 出品，提供端到端應(yīng)用安全，可供進(jìn)行覆蓋整個(gè)軟件開發(fā)生命周期的現(xiàn)場(chǎng)及按需測(cè)試。Fortify on Demand 是 Micro Focus 的應(yīng)用安全即服務(wù)產(chǎn)品，提供靜態(tài)、動(dòng)態(tài)和移動(dòng)應(yīng)用安全測(cè)試，以及生產(chǎn)環(huán)境中Web應(yīng)用的持續(xù)監(jiān)視。

5. Gauntlt

(http://gauntlt.org/)

流行測(cè)試框架，旨在推動(dòng)易操作的安全測(cè)試及安全、開發(fā)和運(yùn)營(yíng)團(tuán)隊(duì)間的溝通。GauntIt便于產(chǎn)生攻擊測(cè)試用例，且能方便地鉤入現(xiàn)有工具及進(jìn)程。

6. Synopsys suite

(https://www.synopsys.com/)

Synopsys提供多個(gè)應(yīng)用安全測(cè)試工具，包括：

1)SAST工具Coverity

(https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast.html)

自動(dòng)化測(cè)試且融入持續(xù)集成/持續(xù)交付(CI/CD)管道;

2)SCA工具 Black Duck

(https://www.synopsys.com/software-integrity/security-testing/software-composition-analysis.html)

采用容器及應(yīng)用中的開源和第三方代碼檢測(cè)并管理安全;