10款免费工具：敏捷开发运维(DevOps)的好帮手

来源：湖北国菱编辑部 时间：2018-06-05

1.OWASP Zed Attack Proxy (ZAP)

有开发人员免费自动化安全扫描的能力，能帮开发团队无缝融合进DevOps工具链的Jenkins插件。

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

2.Gauntlt

专门为嵌入持续集成(CI)流水线而生的安全测试框架，能让DevOps团队自动化测试所用Cucumber框架中许多现有安全工具发挥作用。

http://gauntlt.org

3.BDD-Security

BDD-Security提供了安全验收测试框架的额外选择，是一款无需访问目标源代码即可工作的外部扫描器。

https://github.com/continuumsecurity/bdd-security

4.Git-Hound

是一款旨在减少敏感数据泄露风险的免费安全工具，可以提供对敏感数据提交的自动检查，避免敏感数据被提交到代码仓库中。

https://github.com/ezekg/git-hound

5.Brakeman

是一款开源静态代码分析工具，有着成熟而活跃的社区支持，能够捕获 Ruby onRails 应用中的安全漏洞。

https://brakemanscanner.org

6.FindSecurityBugs

与Brakeman类似，FindSecurityBugs也是一款免费静态代码分析攻击，只不过分析目标主要集中在Java应用程序上。它能嵌入集成开发环境(IDE)，有适用于Jenkins、Eclipse和Maven等多种平台的有用插件。

https://find-sec-bugs.github.io

7.Archery

一款开源漏洞评估及管理工具，用Selenium执行动态身份验证扫描。Archery的 REST API 能让开发人员方便地将之融入DevOps工具集。

https://github.com/toolswatch/blackhat-arsenaltools/blob/master/vulnerability_assessment/archery.md

8.CIS Kubernetes 标准检查程序

Kubernetes为容器化应用部署提供了强有力的可扩展工具，但正如任何强力可扩展工具所需的，它也要求有一些重要的安全实践以确保过程中的风险被控制在最小。该工具提供一套很有价值的自动化脚本，可帮助公司企业遵从那些标准。

https://github.com/neuvector/kubernetes-cis-benchmark

9.Cloudsploit

Cloudsploit帮助DevOps团队扫描其AWS实例，查找能直接导致此类数据曝光的各种配置错误和其他安全风险。

https://github.com/cloudsploit/scans

10.InSpec

InsSpec由基础设施即代码提供商Chef主导，提供将合规、安全和策略要求融入到基础设施即代码思想中的工具。

https://www.inspec.io