DevSecOps-让业务,开发,安全,运维, 同病相怜, 肝胆相照, 荣辱与共。
DevSecOps是DevOps的理念的扩展。DevSecOps的目标是将安全嵌入到DevOps的流水线之中,满足从需求,设计,开发,测试到运维等全过程的安全整合,实现安全的完全嵌入和左移,让所有的人为安全负责,主动的承担安全责任,最终让团队能更快,更高效的开发更安全的产品。
- DoD-Enterprise-DevSecOps-2.0-Fundamentals
- DoD-Enterprise-DevSecOps-2.0-Playbook
- DoD-Enterprise-DevSecOps-2.0-Strategy-Guide
- DoD-Enterprise-DevSecOps-2.0-Tools-and-Activities
- DoD-Enterprise-DevSecOps-Reference-Design-v2.0-CNCF-Kubernetes
- devsecops.org
- synopsys 定义的DevSecOps
- redhat-DevSecOps
- IBM-DevSecOps
- dynatrace-DevSecOps
- atlassian-DevSecOps
- csoonline-DevSecOps
- techtarget-DevSecOps
- jfrog-DevSecOps
- snyk-DevSecOps
- plutora-DevSecOps
| Type | Name | Description |
|---|---|---|
| Build/SAST | SonarQube | SonarQube 是一个开源的代码分析平台, 用来持续分析和评测项目源代码的质量。 通过SonarQube我们可以检测出项目中重复代码, 潜在bug, 代码规范,安全性漏洞等问题; |
| Build/SAST | codeql | CodeQL 是一个语义代码分析引擎,它可以扫描发现代码库中的漏洞。使用 CodeQL,可以像对待数据一样查询代码。编写查询条件以查找漏洞的所有变体,并处理,同时可以分享个人查询条件。 |
| Build/SAST | semgrep | Semgrep 是一个快速、开源的静态分析工具,用于在编辑、提交和 CI 时查找错误并执行代码标准。 |
| Build/SAST | sonarcloud-github-action | 将SonarCloud代码分析集成到GitHub Actions |
| Build/SECRET-MANAGE | kamus | Kamus 能自动将零信任加密和解密合并到你的 GitOps 工作流中。与 Git-Secret 结合使用,你可以在不减慢 CI/CD 周期的情况下增强整个管道的安全性。 |
| Build/SECRET-MANAGE | secrets-sync-action | 以将一个存储库中的机密同步到其他存储库中。通过此操作,维护人员可以在单个存储库中定义和旋转机密,并将其同步到Github组织或更高版本中的所有其他存储库。 |
| Build/SECRET-MANAGE | vault-action | 秘钥管理工具 |
| Design/THREAT | owasp-threat-dragon-desktop | Threat Dragon是一款免费的开源跨平台应用程序,包括系统图表和自动生成威胁/缓解措施的规则引擎。 这是一个。 该项目的重点是出色的UX,功能强大的规则引擎以及与其他开发生命周期工具的集成。 |
| Design/THREAT | pytm | Pytm是一款Python风格的威胁建模框架,它可以帮助我们以Python语言风格的形式并使用pytm框架中的元素和属性来定义你的系统。根据我们的定义参数,pytm可以针对你的系统生成数据流图(DFD)、序列图以及威胁模型。 |
| Design/THREAT | seasponge | 威胁建模工具 |
| Design/THREAT | threagile | 敏捷威胁建模工具 |
| Operate and Monitor/COMPONENT-ANALYSIS | dependency-track | Dependency-Track是一个智能组件分析平台,允许组织识别和降低软件供应链中的风险。Dependency-Track通过利用软件材料清单(SBOM)的功能,采取了一种独特且非常有益的方法。这种方法提供了传统软件组合分析(SCA)解决方案无法实现的功能。Dependency-Track监控其投资组合中每个应用程序所有版本的组件使用情况,以便主动识别整个组织的风险。该平台采用API优先设计,非常适合在CI/CD环境中使用。 |
| Operate and Monitor/K8S | kube-hunter | 寻找 Kubernetes 集群中可利用的安全弱点。Kube-hunter 更有用的功能之一是能够利用它发现的漏洞来寻找进一步的漏洞。 |
| Test/DAST | action-baseline | 运行OWASP ZAP 以查找Web应用程序中的漏洞的GitHub操作。 ZAP基线操作会扫描目标URL中的漏洞,并在GitHub存储库中维护已标识警报的问题。 |
| Test/DAST | action-dalfox | DalFox是一款功能强大的XSS参数分析和扫描工具,该工具基于Golang开发,可以帮助广大研究人员通过分析参数,来寻找XSS漏洞,并基于DOM解析器来对找到的XSS漏洞进行验证。 |
| Test/DAST | action-full-scan | A运行OWASPZAP完整扫描的GitHub操作,ZAP动作全扫描运行OWASPZAP以执行动态应用程序安全测试(DAST)的GitHub操作。 |
| Test/DAST | zaproxy | 寻找Web应用程序漏洞的综合性渗透测试工具 |
| Test/PENTEST | faraday | 渗透测试工具和漏洞管理平台 |
| Test/PENTEST | metasploit-framework | 渗透测试框架 |
| Test/PENTEST | monkey | 自动化的渗透测试工具 |
| Test/PENTEST | ptf | 渗透测试框架 |
欢迎加群讨论:
