1.IriusRisk

在現(xiàn)代軟件開(kāi)發(fā)中，威脅建模愈發(fā)關(guān)鍵。IriusRisk是一個(gè)自動(dòng)化威脅建模平臺(tái)，它能基于系統(tǒng)架構(gòu)圖和調(diào)查問(wèn)卷，幫助團(tuán)隊(duì)在軟件開(kāi)發(fā)生命周期的早期識(shí)別并緩解安全風(fēng)險(xiǎn)。該平臺(tái)的突出優(yōu)勢(shì)在于，它能夠在大型組織中開(kāi)展規(guī)?；耐{建模，同時(shí)保持一致性，并減少傳統(tǒng)安全評(píng)估所需的人工工作量。

關(guān)鍵特性

• 內(nèi)置安全標(biāo)準(zhǔn)：納入了諸如OWASP（開(kāi)放式Web應(yīng)用程序安全項(xiàng)目）、NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）和Mitre等主要安全標(biāo)準(zhǔn)，有助于確保符合行業(yè)最佳實(shí)踐；
• 集成能力：可與流行的開(kāi)發(fā)工具（如Jira、GitHub和Jenkins）集成；
• 可復(fù)用組件庫(kù)：擁有一個(gè)涵蓋威脅模式及應(yīng)對(duì)措施的綜合庫(kù)，可快速應(yīng)用于新項(xiàng)目；
• 風(fēng)險(xiǎn)可視化：能夠清晰直觀地呈現(xiàn)安全風(fēng)險(xiǎn)及其對(duì)系統(tǒng)的潛在影響；
• 協(xié)作功能：使安全團(tuán)隊(duì)和開(kāi)發(fā)團(tuán)隊(duì)能在威脅評(píng)估及緩解策略方面有效協(xié)作。

IriusRisk提供免費(fèi)的社區(qū)版和付費(fèi)的企業(yè)版。社區(qū)版以SaaS模式提供，包含創(chuàng)建多達(dá)三個(gè)威脅模型以及訪問(wèn)其人工智能助手的權(quán)限。企業(yè)版可采用SaaS或本地部署的形式，支持不限數(shù)量的用戶，并可按需購(gòu)買(mǎi)威脅模型數(shù)量。

2.Semgrep

組織可使用Semgrep來(lái)進(jìn)行全面的靜態(tài)應(yīng)用程序安全測(cè)試。它將強(qiáng)大的代碼分析功能與依賴項(xiàng)及機(jī)密信息掃描功能相結(jié)合。其一大突出特點(diǎn)是采用直觀的方式創(chuàng)建自定義規(guī)則。開(kāi)發(fā)人員可以復(fù)制并粘貼他們想要查找的代碼模式，并為變量添加占位符，Semgrep會(huì)在整個(gè)代碼庫(kù)中進(jìn)行語(yǔ)義匹配，查找相似模式。這一功能對(duì)于執(zhí)行公司特定的編碼標(biāo)準(zhǔn)以及發(fā)現(xiàn)業(yè)務(wù)邏輯缺陷很有幫助。

開(kāi)發(fā)人員還可使用Semgrep分析單個(gè)API規(guī)范，并在企業(yè)層面同時(shí)掃描數(shù)百個(gè)代碼倉(cāng)庫(kù)。

關(guān)鍵特性

• 減少誤報(bào)：具有上下文感知掃描功能，它能理解代碼結(jié)構(gòu)，而非僅僅進(jìn)行模式匹配，從而得出更準(zhǔn)確且更具操作性的結(jié)果；
• 自定義標(biāo)準(zhǔn)執(zhí)行：通過(guò)直觀的模式匹配來(lái)創(chuàng)建并維護(hù)組織特定的編碼標(biāo)準(zhǔn)和安全規(guī)則；
• 持續(xù)集成/持續(xù)交付集成：為現(xiàn)有的持續(xù)集成/持續(xù)交付（CI/CD）工作流程提供支持，適配主要的CI平臺(tái)，并提供API訪問(wèn)以實(shí)現(xiàn)自定義集成；
• Semgrep的免費(fèi)版本可訪問(wèn)開(kāi)源規(guī)則、創(chuàng)建自定義規(guī)則以及進(jìn)行CI集成，適用于個(gè)人開(kāi)發(fā)者和小型團(tuán)隊(duì)。

Semgrep提供付費(fèi)的企業(yè)版選項(xiàng)：Semgrep Code每月每位貢獻(xiàn)者40美元，Semgrep Supply Chain每月每位貢獻(xiàn)者40美元，Semgrep Secrets每月每位貢獻(xiàn)者20美元，也可按需定制價(jià)格。Semgrep Code和Semgrep Supply Chain的前10位貢獻(xiàn)者免費(fèi)。

付費(fèi)功能包括用于檢測(cè)硬編碼憑證和令牌的高級(jí)機(jī)密掃描、用于識(shí)別存在漏洞的依賴項(xiàng)的軟件成分分析、基于角色的訪問(wèn)控制以及優(yōu)先支持服務(wù)。依賴項(xiàng)掃描器可識(shí)別過(guò)時(shí)或有漏洞的軟件包，并提供可行的升級(jí)路徑。付費(fèi)選項(xiàng)還包括供應(yīng)鏈安全功能、合規(guī)報(bào)告，以及用于自定義集成的API訪問(wèn)權(quán)限。

3.ZAP

Zed Attack Proxy（ZAP）是世界上使用最廣泛的開(kāi)源Web應(yīng)用程序安全掃描器之一，是Web安全測(cè)試的首選免費(fèi)工具。它由OWASP創(chuàng)建，現(xiàn)由Checkmarx提供支持，充當(dāng)中間人代理，攔截并檢查客戶端與Web應(yīng)用程序之間的消息。其主要功能包括自動(dòng)化漏洞掃描、瀏覽時(shí)的被動(dòng)掃描、網(wǎng)頁(yè)爬取以及REST API。

ZAP因其廣泛的社區(qū)支持、積極的開(kāi)發(fā)以及與CI/CD管道的集成能力而聞名。ZAP因其可靠性和豐富的功能集而格外受歡迎。

4.StackHawk

StackHawk基于ZAP的核心引擎構(gòu)建，對(duì)DevSecOps工作流程中的安全測(cè)試進(jìn)行了現(xiàn)代化改造并加以簡(jiǎn)化。它通過(guò)以下方式增強(qiáng)了ZAP的功能：

• 原生CI/CD集成，尤其與GitHub Actions的集成；
• 現(xiàn)代API安全測(cè)試功能；
• 簡(jiǎn)化配置和設(shè)置；
• 團(tuán)隊(duì)協(xié)作功能；
• 增強(qiáng)的報(bào)告和儀表盤(pán)功能；
• 更好地處理現(xiàn)代認(rèn)證方法。

StackHawk適合那些尋求更完善、適合性更強(qiáng)且有專門(mén)支持的產(chǎn)品的組織。StackHawk專注于面向開(kāi)發(fā)者的安全測(cè)試和API掃描，這使其在采用DevSecOps最佳實(shí)踐的團(tuán)隊(duì)中尤為流行。

StackHawk提供付費(fèi)版本。專業(yè)版（Pro）每月每位代碼貢獻(xiàn)者42美元，最低需5位貢獻(xiàn)者；企業(yè)版（Enterprise）每月每位代碼貢獻(xiàn)者59美元，最低需20位貢獻(xiàn)者。擁有超過(guò)50位代碼貢獻(xiàn)者的組織可聯(lián)系StackHawk獲取定制報(bào)價(jià)。

5.GitGuardian

GitGuardian可幫助組織在整個(gè)軟件開(kāi)發(fā)生命周期中自動(dòng)檢測(cè)并保護(hù)敏感信息（包括API密鑰、憑證及其他機(jī)密信息），從而防止代價(jià)高昂的數(shù)據(jù)泄露事件發(fā)生。其強(qiáng)大的掃描引擎與現(xiàn)有工作流程及工具相集成，實(shí)時(shí)監(jiān)控代碼倉(cāng)庫(kù)、提交內(nèi)容以及拉取請(qǐng)求，且不會(huì)影響開(kāi)發(fā)人員的工作效率。

GitGuardian能在機(jī)密信息被泄露時(shí)立即發(fā)出警報(bào)并提供詳細(xì)的補(bǔ)救指導(dǎo)，使團(tuán)隊(duì)在保持高開(kāi)發(fā)速度的同時(shí)維持良好的安全實(shí)踐。它還有助于防止開(kāi)發(fā)人員意外地將關(guān)鍵機(jī)密信息提交到公共代碼倉(cāng)庫(kù)中。

GitGuardian提供免費(fèi)的入門(mén)版（適用于最多25名開(kāi)發(fā)人員），以及團(tuán)隊(duì)版（每年每位開(kāi)發(fā)人員220美元，適用于最多200名開(kāi)發(fā)人員）。擁有超過(guò)200名開(kāi)發(fā)人員的組織可聯(lián)系GitGuardian獲取定制報(bào)價(jià)。

6.Trivy

在當(dāng)今云原生環(huán)境下，對(duì)整個(gè)軟件供應(yīng)鏈進(jìn)行安全掃描至關(guān)重要。Trivy是一款由軟件供應(yīng)商Aqua Security維護(hù)的開(kāi)源安全掃描器，可為各大Linux發(fā)行版中的容器、應(yīng)用程序和基礎(chǔ)設(shè)施代碼提供全面的漏洞檢測(cè)和安全分析。

關(guān)鍵特性

• Kubernetes安全：識(shí)別Kubernetes工作負(fù)載中的錯(cuò)誤配置和高風(fēng)險(xiǎn)設(shè)置，以確保符合安全最佳實(shí)踐；
• 多層檢測(cè)：掃描操作系統(tǒng)軟件包、應(yīng)用程序依賴項(xiàng)、暴露的機(jī)密信息，以及許可證違規(guī)情況中的漏洞；
• 基礎(chǔ)設(shè)施即代碼覆蓋：檢查基礎(chǔ)設(shè)施即代碼（IaC）文件（包括Terraform和Kubernetes配置清單）中的安全配置；
• DevSecOps集成：提供快速掃描且誤報(bào)率低，旨在更易于集成到CI/CD管道中。

Trivy的關(guān)鍵優(yōu)勢(shì)在于它將廣泛的功能覆蓋范圍（涵蓋容器、IaC和依賴項(xiàng)）與簡(jiǎn)便性和快速性相結(jié)合，對(duì)于那些希望用一種簡(jiǎn)單直接的工具滿足多種安全掃描需求的團(tuán)隊(duì)頗具吸引力。

7.CycloneDX

CycloneDX是一種輕量級(jí)的軟件物料清單（SBOM）規(guī)范，用于跟蹤并記錄軟件應(yīng)用程序中的組件，以便更好地進(jìn)行安全和合規(guī)管理。它因在行業(yè)內(nèi)被廣泛采用以及得到OWASP的支持而脫穎而出，對(duì)于那些需要了解并管理其軟件依賴關(guān)系和供應(yīng)鏈風(fēng)險(xiǎn)的組織來(lái)說(shuō)，是理想的SBOM規(guī)范。

CycloneDX能與這里介紹的其他工具良好集成，并支持XML、JSON和協(xié)議緩沖區(qū)等數(shù)據(jù)格式。組織可使用CycloneDX創(chuàng)建軟件即服務(wù)物料清單（SaaS BOM）、硬件物料清單（Hardware BOM）以及漏洞披露報(bào)告。

參考鏈接：https://www.techtarget.com/searchsecurity/tip/DevSecOps-tools-to-secure-each-step-of-the-SDLC