28款DevSecOps工具助力安全开发

将安详融入开拓进程，更早捕捉并修复应用裂痕，你必要这五类共28款DevSecOps器材。

DevSecOps是将安详集成到整个应用开拓周期的进程，是从内到外强化应用，使其可以或许抵制各类隐藏威胁的抱负方法。由于许多公司企业不绝开拓应用以满意客户和贸易相助搭档的需求，DevSecOps的吸引力也一日千里。

火速开拓要领与DevOps操纵辅佐公司企业告竣一连开拓的方针。云原生应用架构也成为了DevSecOps行为的有力孝顺者，敦促回收民众云提供商、容器技能和容器平台为应用提供计较手段。DevSecOps将安详进程与器材集成进事变流并加以自动化，挣脱了传统要领定时刻点举办的隐藏滋扰，是个无缝且一连的进程。

咨询公司 Data Bridge Market Research 称，鉴于收集安详威胁数目与危害性的一连上升，环球DevSecOps市场估量将从2018年的14.7亿美元增添至2026年的136.3亿美元。

市场繁荣之下，DevSecOps器材必将泛起百花齐放百家争鸣的排场。下面就按焦点门类为您呈上多款优越DevSecOps器材。

警报：向开拓职员传递非常

开拓应用的时辰很轻易忽略掉安详裂痕。下面的器材为开拓职员提供了隐藏安详非常及缺陷的警报成果，可供开拓职员实时观测并修复这些裂痕，不至于走得太远回不了头。有些器材专用于警报成果，好比开源的Alerta 。其他器材则兼具测试等此外成果，好比 Contrast Assess。

1. Alerta

(https://alerta.io/)

该开源器材可将多个来历的信息整合去重，提供快速可视化成果。Alerta与Prometheus、Riemann、Nagios、Cloudwatch及其他监督/打点处事集成，开拓职员可通过API按需定制Alerta。

2. Contrast Assess

(https://www.contrastsecurity.com/interactive-application-security-testing-iast)

作为一款互动应用安详测试(IAST)器材，Contrast Assess 与用户应用集成，在靠山一连监督代码，并在发明安详裂痕时发出警报。据称即便长短安详开拓职员也可行使 Contrast Assess 自行辨认并修复裂痕。

3. Contrast Protect

(https://www.contrastsecurity.com/runtime-application-self-protection-rasp)

该运行时应用自掩护(RASP)器材回收了 Contrast Assess 同款嵌入式署理。Contrast Protect 在出产情形中查找裂痕操作措施和未知威胁，并将功效提交给安详信息及变乱打点(SIEM)节制台、防火墙或其他安详器材。

4. ElastAlert

(https://elastalert.readthedocs.io/en/latest/)

ElastAlert提供近及时吸取警报的框架，可吸取来自Elasticsearch数据的安详非常、流量激增及其他模式。ElastAlert查询Elasticsearch并按照一系列法则较量这些数据。一旦呈现匹配，ElastAlert便发出警报并随附提议举措。

自动化：发明并修复缺陷

大大都DevSecOps器材都提供必然水平的自动化。此类器材自动扫描、发明并修复安详缺陷，只是自动化水平各有差异，以前提式变乱驱动的自动化到运用深度进修技能的自动化都有。

1. CodeAI

(http://www.qbitlogic.com/codeai/)

旨在通过深度进修技能自动查找并修复源代码中的安详裂痕，号称可为开拓职员提供可供参考的办理方案列表，而不只仅是安详题目列表。其供给商QbitLogic宣称，已为CodeAI馈送了数百万个实际天下裂痕修复样本供实习。

2. Parasoft tool suite

(https://www.parasoft.com/)

Parasoft提供包罗应用开拓安详测试在内的多种自动化器材：

1)Parasoft C/C++test

(https://www.parasoft.com/products/ctest)

用于开拓进程早期缺陷辨认;

2)Parasoft Insure++

(https://www.parasoft.com/products/insure)

可以查找不类型编程及内存会见错误;

3)Parasoft Jtest

(https://www.parasoft.com/products/jtest)

用于Java软件开拓测试;

4) Parasoft dotTEST

(https://www.parasoft.com/products/jtest)

以深度静态说明和高级包围作为 Visual Studio 器材的增补。

3. Red Hat Ansible Automation

(https://www.redhat.com/en/technologies/management/ansible)

该器材包括三个模块——Ansible Tower、Ansible Engine 和 Red Hat Ansible Network Automation，可作为无署理IT自动化技能单独或连系行使。尽量不是专门的安详器材，Ansible Automation 却可供用户界说法则以确定自身软件开拓项目中哪些部门是安详的。

4. StackStorm

(https://stackstorm.com)：

该开源器材号称“可举办前提式运营”，其变乱驱动的自动化能在检测到安详裂痕时提供剧本化的修复与相应，并附有一连陈设、ChatOps优化等成果。

5. Veracode

(https://www.veracode.com/devsecops)：

该公司提供DevSecOps情形中普及行使的一系列自动化安详器材，包罗在代码编写时即时自动扫描的Greenlight;在沙箱中扫描代码裂痕的 Developer Sandbox;辨认裂痕组件的 Software Composition Analysis (SCA);以及辨认应用缺陷的 Static Analysis。

仪表板：开拓进程可见性

专用DevSecOps仪表板器材可行使户在统一图形界面中查察并共享从开拓伊始到运营进程中的安详信息。有些DevSecOps应用，好比ThreatModeler和Parasoft已自带仪表板。

1. Grafana

(https://grafana.com/)

该开源说明平台应承用户建设自界说仪表板，聚合全部相干数据以可视化及查询安详数据。假如不想自行构建，还可以在其网站上选用社区构建的仪表板。

2. Kibana

(https://www.elastic.co/products/kibana)

假如你行使Elasticsearch，该开源器材可在同一图形界面中集成成千上万的日记条目，包罗运营数据、时刻序列说明、应用监督等等。

威胁建模：辨认并排序应用风险

威胁建模DevSecOps器材用以在伟大的进攻界面中辨认、猜测并界说威胁，以便用户可以做出主动安详决定。有些器材可按照用户提供的体系及应用信息自动构建威胁模子，并提供可视化界面以辅佐安详及非安详职员试探威胁及其隐藏影响。

1. IriusRisk

(https://continuumsecurity.net/threat-modeling-tool/)

出自 Continuum Security 的办理方案，既可云陈设，也可现场陈设，能以基于问卷的界面自动化风险及需求说明，并计划出威胁模子和技能性安详要求。IriusRisk还可辅佐用户打点代码构建及安详测试阶段。

2. ThreatModeler

(https://threatmodeler.com/)

该自动化威胁建模体系有两个版本：AppSec版和云版。在提供了用户应用或体系的成果性信息后，ThreatModeler会基于更新的威胁谍报自动就整个进攻界面举办数据说明和隐藏威胁辨认。

3. OWASP Threat Dragon

(https://www.owasp.org/index.php/OWASP_Threat_Dragon)

一款基于Web的开源器材，提供体系图解和用于自动化威胁建模与缓解的法则引擎。Threat Dragon 理睬可与其他软件开产生命周期(SDLC)器材无缝集成，且界面易于行使。

测试：在上线前查找安详裂痕

在开拓进程中测试应用以找出隐藏裂痕是DevSecOps的要害部门，可以或许事先发明安详裂痕，停止裂痕被黑客操作。尽量其他器材每每包括了测试成果，好比Parasoft出品的那些，下列器材如故在应用安详测试上示意强劲。

1. BDD-Security

(https://continuumsecurity.net/bdd-security/)

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!