10款免費工具：敏捷開發運維(DevOps)的好幫手

來源：湖北國菱編輯部 時間：2018-06-05

1.OWASP Zed Attack Proxy (ZAP)

有開發人員免費自動化安全掃描的能力，能幫開發團隊無縫融合進DevOps工具鏈的Jenkins插件。

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

2.Gauntlt

專門為嵌入持續集成(CI)流水線而生的安全測試框架，能讓DevOps團隊自動化測試所用Cucumber框架中許多現有安全工具發揮作用。

http://gauntlt.org

3.BDD-Security

BDD-Security提供了安全驗收測試框架的額外選擇，是一款無需訪問目標源代碼即可工作的外部掃描器。

https://github.com/continuumsecurity/bdd-security

4.Git-Hound

是一款旨在減少敏感數據泄露風險的免費安全工具，可以提供對敏感數據提交的自動檢查，避免敏感數據被提交到代碼倉庫中。

https://github.com/ezekg/git-hound

5.Brakeman

是一款開源靜態代碼分析工具，有著成熟而活躍的社區支持，能夠捕獲 Ruby onRails 應用中的安全漏洞。

https://brakemanscanner.org

6.FindSecurityBugs

與Brakeman類似，FindSecurityBugs也是一款免費靜態代碼分析攻擊，只不過分析目標主要集中在Java應用程序上。它能嵌入集成開發環境(IDE)，有適用于Jenkins、Eclipse和Maven等多種平臺的有用插件。

https://find-sec-bugs.github.io

7.Archery

一款開源漏洞評估及管理工具，用Selenium執行動態身份驗證掃描。Archery的 REST API 能讓開發人員方便地將之融入DevOps工具集。

https://github.com/toolswatch/blackhat-arsenaltools/blob/master/vulnerability_assessment/archery.md

8.CIS Kubernetes 標準檢查程序

Kubernetes為容器化應用部署提供了強有力的可擴展工具，但正如任何強力可擴展工具所需的，它也要求有一些重要的安全實踐以確保過程中的風險被控制在最小。該工具提供一套很有價值的自動化腳本，可幫助公司企業遵從那些標準。

https://github.com/neuvector/kubernetes-cis-benchmark

9.Cloudsploit

Cloudsploit幫助DevOps團隊掃描其AWS實例，查找能直接導致此類數據曝光的各種配置錯誤和其他安全風險。

https://github.com/cloudsploit/scans

10.InSpec

InsSpec由基礎設施即代碼提供商Chef主導，提供將合規、安全和策略要求融入到基礎設施即代碼思想中的工具。

https://www.inspec.io