教育行業(yè)A股IPO第一股(股票代碼 003032)

全國咨詢/投訴熱線:400-618-4000

6款自動化應(yīng)用安全測試工具推薦

更新時間:2020年07月31日11時08分 來源:傳智播客 瀏覽次數(shù):

SAST工具是最常見也是最早出現(xiàn)的自動化應(yīng)用安全測試。有些研發(fā)人員認(rèn)為,考慮軟件的安全性會給他們增加更多工作量,但實際上,安全能力會給研發(fā)工作錦上添花,幫助節(jié)約大量修復(fù)bug的時間。市場上的SAST工具非常多,今天就介紹6款免費的開發(fā)安全測試工具,希望能幫到你。

1、GitGuardian

GitGuardian包括300多種不同類型的機密類型,能夠通過復(fù)雜的模型匹配等多種算法技術(shù)進行檢測,并且通過掃描開發(fā)人員存儲庫,持續(xù)發(fā)現(xiàn)機密信息。有一個很棒的功能是,GitGuardian可以和GitHub帳戶集成,只需幾分鐘就能完成配置。開發(fā)人員可以通過GitGuardian API檢測目錄、郵件客戶端或Slack channel等服務(wù)中的機密信息。

2、Snyk

Snyk能為開發(fā)人員提供一些開源的解決方案,它有很多不錯的功能,比如在IDE中檢測漏洞,掃描本地git測試存儲庫中的項目等。Snyk有安全網(wǎng)關(guān),能夠防止漏洞通過構(gòu)建過程進入開發(fā)環(huán)境,而且有一個生產(chǎn)環(huán)境,用于測試運行環(huán)境中是否存在暴露風(fēng)險點。

3、NodeJsScan

NodeJs Scan有一個命令行接口,很方便就能與DevSecOps CI/CD管道集成,并以JSON格式生成掃描結(jié)果。NodeJs Scan的文件總覽和整個代碼庫都可以通過統(tǒng)計數(shù)據(jù)和餅圖做到可視化,此外,還可以檢測緩沖區(qū)溢出漏洞,并針對Java的十大OWASP漏洞。

4、Contrast Security-Community

Contrast Security提供了一種新的軟件應(yīng)用安全方法,可以深入地發(fā)現(xiàn)漏洞。軟件開發(fā)人員可以在其開發(fā)的軟件中嵌入一個安全傳感器,這個傳感器不斷地把數(shù)據(jù)傳送到Contrast的平臺,使得開發(fā)者能夠在軟件開發(fā)和測試過程中評估軟件的缺陷,能夠在已部署的軟件遭受攻擊時進行精確防護。

5、Sqreen

Sqreen的RASP覆蓋OWASP十大安全漏洞,可通過請求的完整執(zhí)行上下文信息來發(fā)現(xiàn)應(yīng)用上線后的漏洞利用和攻擊活動,如SQL注入、XSS和SSRF等。它能夠根據(jù)請求的執(zhí)行邏輯進行攻擊攔截,比其它解決方案的誤報率低得多,這是它比較大的一個特點。Sqreen還能自動適配不同的應(yīng)用程序技術(shù)棧,無需重新部署或配置。

6、WhiteSource Bolt for GitHub

Whitesource支持200多種編程語言,能持續(xù)掃描自有和公開的存儲庫,檢測開源組件中的漏洞并提供修復(fù)建議,能夠持續(xù)跟蹤多個開源漏洞庫,這是很了不起的功能。


猜你喜歡:

自動化測試工具有哪些?10款好用的用具推薦給你

接口&性能測試工具——JMeter環(huán)境部署教程

性能測試工具loadrunner介紹

不可不知的十大軟件測試工具

軟件測試培訓(xùn)課程

0 分享到:
和我們在線交談!