28款DevSecOps器材助力安详开拓

该出自 Continuum Security 的开源框架可使安详职员在火速开拓进程中测试举动驱动开拓(BDD)说话编写的成果及非成果性安详场景。此BDD框架旨在使安详成果独立于应用特定的导航逻辑，让同样的安详要求可以或许更轻易地应用到多个应用措施上。

2. Checkmarx CxSAST

(https://www.checkmarx.com/products/static-application-security-testing/)

可对25种编程及剧本说话举办未编译/未构建源代码扫描的静态应用安详测试(SAST)器材，能在SDLC早期发明成百上千种安详裂痕。CxSAST兼容全部集成开拓情形(IDE)，是Checkmarx软件袒露平台的一部门——该平台可在DevOps全部阶段植入安详。Checkmarx的交互式应用安详测试(IAST)器材可检测运行中应用的安详裂痕。

3. Chef InSpec

(https://github.com/inspec/inspec)

整个开拓进程中的每一阶段都可以运用该开源器材自动化安详测试以确保针对传统处事器及容器和云API的合规、安详及其他政策要求。

4. Fortify

(https://www.microfocus.com/en-us/solutions/application-security)

Micro Focus 出品，提供端到端应用安详，可供举办包围整个软件开产生命周期的现场及按需测试。Fortify on Demand 是 Micro Focus 的应用安详即处事产物，提供静态、动态和移动应用安详测试，以及出产情形中Web应用的一连监督。

5. Gauntlt

(http://gauntlt.org/)

风行测试框架，旨在敦促易操纵的安详测试及安详、开拓和运营团队间的雷同。GauntIt便于发生进攻测试用例，且能利便地钩入现有器材及历程。

6. Synopsys suite

(https://www.synopsys.com/)

Synopsys提供多个应用安详测试器材，包罗：

1)SAST器材Coverity

(https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast.html)

自动化测试且融入一连集成/一连交付(CI/CD)管道;

2)SCA器材 Black Duck

(https://www.synopsys.com/software-integrity/security-testing/software-composition-analysis.html)

回收留器及应用中的开源和第三方代码检测并打点安详;

3)SeekerIAST

(https://www.synopsys.com/software-integrity/security-testing/interactive-application-security-testing.html)

辨认可袒露敏感数据的运行时安详裂痕;

以及一系列用于应用安详测试的托管处事。

其他值得思量的DevSecOps器材

以下DevSecOps器材同样含有上述器材提供的成果，但或多或少略有差异。

1. Aqua Security

(https://www.aquasec.com/)

在整个CI/CD管道和运行时情形中打点端到端安详，可用于全部平台和云情形的容器及云原生应用。

2. Dome9 Arc

(https://www.checkpoint.com/solutions/devops-security/)

被 Check Point 收购，提供自动化测试及安详确验，使开拓职员可以或许将安详及合规融入民众云应用的构建、陈设及运营。

3. GitLab

(https://about.gitlab.com/)

该器材可将DevSecOps架构融入CI/CD进程，在提交时测试每一块代码，使开拓职员可以或许在编程时代缓解安详裂痕，并提供涵盖全部裂痕的仪表板。

4. Red Hat OpenShift

(https://www.redhat.com/en/technologies/cloud-computing/openshift)

为基于容器的应用提供内置安详，好比基于脚色的会见节制、以安详加强的Linux(SELinux)实现断绝，以及贯串整个容器构建进程的核查。

5. RedLock

(https://www.paloaltonetworks.com/products/secure-the-cloud/redlock/cloud-security-governance)(前身为Evident.io)

Palo Alto Networks 出品，合用于陈设阶段，辅佐开拓职员快速发明并缓解资源设置、收集架构及用户勾当中的安详威胁，尤其是在亚马逊S3存储桶和弹性块存储(EBS)卷上。

6. SD Elements

(https://www.securitycompass.com/sdelements/)

出品自 Security Compass 的自动化平台，旨在网络客户软件信息，发明威胁及对策，突出相干安详节制法子以辅佐公司企业实现其安详和合规方针。

7. WhiteHat Sentinel 应用安详平台

(https://www.whitehatsec.com/products/solutions/devsecops/)

该办理方案提供贯串整个SDLC的应用安详，合用于需将安详集成进器材中的火速开拓团队，以及需一连测试以担保出产情形应用安详的安详团队。

8. WhiteSource

(https://www.whitesourcesoftware.com/)

用于办理开源裂痕，可集成进用户的天生进程，无论用户回收什么编程说话、天生器材或开拓情形。WhiteSource行使常常更新的开源代码数据库一连搜查开源组件的安详及授权。

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安详牛（微信公家号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!