DevSecOps的三大開源工具集

　　現(xiàn)代軟件開發(fā)是一個(gè)高度復(fù)雜的工程，而軟件開發(fā)的敏捷化(DevOps)則給其安全控制帶來了全新挑戰(zhàn)。隨著安全威脅的不斷增長(zhǎng)，開發(fā)者必須將安全控制融合到軟件開發(fā)的整個(gè)生命周期中(DevSecOps)，將安全測(cè)試工具與研發(fā)流程整合，在軟件發(fā)布、部署之前，投入生產(chǎn)之后針對(duì)漏洞進(jìn)行大量嚴(yán)格測(cè)試。

　　為了加快軟件安全的測(cè)試過程，匹配安全與敏捷需求，企業(yè)安全團(tuán)隊(duì)也應(yīng)該遵循DevSecOps敏捷安全思維模式，實(shí)踐DevOps安全持續(xù)生命周期方法，通過自動(dòng)化工具大大簡(jiǎn)化代碼安全測(cè)試。

　　以下，我們將簡(jiǎn)要介紹三種主要的DevSecOps測(cè)試方法(SAST、DAST和SCA)及其開源(含免費(fèi))工具。

　　靜態(tài)應(yīng)用安全測(cè)試(SAST)

　　靜態(tài)應(yīng)用程序安全測(cè)試(SAST)通常在編碼階段分析軟件源代碼或二進(jìn)制文件的語法、結(jié)構(gòu)、過程、接口中存在的安全漏洞，是公司在軟件開發(fā)生命周期的早期階段進(jìn)行的一種白盒安全測(cè)試。SAST通常會(huì)在不同的時(shí)間間隔或需要添加或更改代碼庫(kù)時(shí)重新運(yùn)行。

　　作為DevSecOps產(chǎn)品，為自動(dòng)化量身定制的SAST工具會(huì)逐行篩查代碼以識(shí)別已知漏洞和薄弱環(huán)節(jié)。

　　自動(dòng)化SAST工具的主要缺點(diǎn)之一是誤報(bào)，而且該工具的智能化程度不足以分析處于早期階段且無法編譯的代碼。通過人工智能技術(shù)可以大大減少SAST工具的誤報(bào)事件。

　　OWASP發(fā)布了開源、免費(fèi)和商業(yè)SAST工具的列表，以下是可以添加到集成開發(fā)環(huán)境中的流行開源SAST工具：

　　Bandit

　　Flawfinder

　　GitHub Advanced Security

　　OWASP Automated Software Security Toolkit

　　動(dòng)態(tài)應(yīng)用安全測(cè)試(DAST)

　　SAST從內(nèi)部查看源代碼，而動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)則從外部分析軟件的安全性。作為一種黑盒安全測(cè)試工具，DAST可識(shí)別整個(gè)企業(yè)基礎(chǔ)架構(gòu)中的網(wǎng)絡(luò)、系統(tǒng)和操作系統(tǒng)漏洞。

　　DAST通常在測(cè)試或運(yùn)行階段分析應(yīng)用軟件的動(dòng)態(tài)運(yùn)行狀態(tài)，要求應(yīng)用程序完全編譯和運(yùn)行，因此DAST測(cè)試通常在生產(chǎn)之前的測(cè)試/開發(fā)環(huán)境中運(yùn)行，自動(dòng)啟動(dòng)多個(gè)爬取活動(dòng)和相關(guān)的滲透測(cè)試以檢測(cè)漏洞。DAST降低了將有安全漏洞的軟件交到業(yè)務(wù)用戶手中的風(fēng)險(xiǎn)。

　　DAST的主要缺點(diǎn)是測(cè)試難以覆蓋整個(gè)攻擊面，從而導(dǎo)致一些漏洞被遺漏。

　　OWASP推薦了一系列開源和商業(yè)DAST工具。其中流行的開源工具如下：

　　Deepfence ThreatMapper

　　Nikto

　　OpenVAS

　　OWASP Zed Attack Proxy

　　軟件成分分析(SCA)

　　軟件成分分析(SCA)技術(shù)用于檢測(cè)軟件中的開源組件是否帶有已知的安全漏洞或功能漏洞，或需要恰當(dāng)授權(quán)許可的商業(yè)軟件或第三方產(chǎn)品。

　　隨著軟件供應(yīng)鏈安全威脅的不斷增長(zhǎng)，軟件成分分析(SCA)的重要性正不斷提升，對(duì)于部分或者全部依賴開源軟件的開發(fā)項(xiàng)目，SCA工具可用于自動(dòng)識(shí)別整個(gè)容器映像、打包的二進(jìn)制文件和源代碼中的漏洞。SCA工具對(duì)于識(shí)別和管理軟件許可，以及實(shí)現(xiàn)最佳代碼集成也很有用。

　　SCA工具提供了一種可靠的方法來及時(shí)自動(dòng)識(shí)別漏洞和利用。SCA工具可掃描一個(gè)或多個(gè)相關(guān)數(shù)據(jù)庫(kù)中的管理器、文件和圖像，從中查找已知漏洞，可快速識(shí)別開源軟件和可重用代碼中的安全問題。越來越多的企業(yè)意識(shí)到，需要使用軟件物料清單(SBOM)來跟蹤代碼并幫助防止可見性問題。

　　G2列出了許多提供免費(fèi)試用版的SCA工具，其中包括：

　　GitLab

　　ThreatWorx

　　JFrog Xray