2023年八个热门DevSecOps开源工具

DevSecOps不仅仅是将安全“塞进”开发和运营。事实上，DevSecOps已经成为一种工程文化、一种自动化平台设计方法，目标是将安全性集成到整个IT生命周期中，成为敏捷企业的安全基石。

随着黑客攻击技术变得越来越复杂，无论是开发工程师还是开发团队负责人，都迫切需要在自动化流程中加入更多的防御机制，如工具、库、服务等。虽然工具整合是大势所趋，但在对工具链进行平台化整合（了解哪些工具是无效的甚至是有害的）之前，企业首先需要扩充工具链（了解哪些工具有助于加强DeSecOps流程）。

以下我们收集整理了八个开发团队不可错过的，可集成到CI/CD管道中的DevSecOps开源工具。

Snyk

Snyk是开发人员优先的云原生安全工具，可以扫描和监控项目是否存在安全漏洞。

地址：

https://github.com/snyk/cli

OSV

谷歌开源的osv.dev是用于开源项目的漏洞数据库和分类基础架构，服务于开源维护者和开源用户。

地址：

https://osv.dev/

Binskim

微软开源的Binskim是一种可移植可执行(PE)轻量级扫描程序，可验证编译器/链接器设置和其他与安全相关的二进制特征。

地址：

https://github.com/microsoft/binskim

Tfsec

Auasecurity开源的Tfsec使用Terraform代码的静态分析来发现潜在的错误配置。

地址：

https://github.com/aquasecurity/tfsec

Trivy

Aquasecurity开源的Trivy是一款功能全面的安全扫描器。

地址：

https://github.com/aquasecurity/trivy

Kubelinter

KubeLinter分析Kubernetes YAML文件和Helm图表，并根据各种最佳实践检查它们，重点是生产准备和安全性。

地址：

https://github.com/aquasecurity/tfsec

Checkov

Checkov是一个用于基础设施即代码(IaC)的静态代码分析工具，也是一个用于图像和开源包的软件组成分析(SCA)工具。

地址：

https://github.com/bridgecrewio/checkov

ggshield

Gitguardin的ggshield是一个在本地环境或CI环境中运行的CLI应用程序，可帮助您检测350多种类型的机密信息，以及代码库的其他潜在安全漏洞或策略中断问题。

地址：

https://github.com/GitGuardian/ggshield

文章来源：GoUpSec

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END