SAST工具是最常见也是最早的自动化应用程序安全测试工具。一些研发人员认为考虑软件安全会增加他们的工作量,但实际上,安全能力会增加研发工作量,有助于节省大量修复bug的时间。市场上有许多SAST工具。今天给大家介绍6款免费的开发安全测试工具,希望对大家有所帮助。1.GitGuardianGitGuardian包含了300多种不同的机密类型,可以通过复杂的模型匹配等算法技术进行检测,通过扫描开发者仓库不断发现机密信息。一个很酷的功能是GitGuardian可以与GitHub帐户集成,并且可以在几分钟内完成配置。开发人员可以通过GitGuardianAPI检测目录、邮件客户端或Slack通道等服务中的机密信息。2、SnykSnyk可以为开发者提供一些开源的解决方案。它有很多不错的功能,比如检测IDE中的漏洞,扫描本地git测试仓库中的项目等等。Snyk有安全网关,可以防止漏洞通过构建过程进入开发环境,也有生产环境,用于测试运行环境是否存在暴露的风险点。3.NodeJsScanNodeJsScan有一个命令行界面,可以方便地与DevSecOpsCI/CD流水线集成,生成JSON格式的扫描结果。NodeJsScan的文件概览和整个代码库可以通过统计数据和饼图来可视化。此外,它还可以检测缓冲区溢出漏洞和针对Java的十大OWASP漏洞。4.ContrastSecurity-CommunityContrastSecurity提供了一种新的软件应用安全方法,可以深度发现漏洞。软件开发人员可以在他们开发的软件中嵌入一个安全传感器,这个传感器不断地向Contrast的平台传输数据,使开发人员能够在软件开发和测试过程中评估软件缺陷,并能够在部署的软件受到攻击时进行精确保护。5、SqreenSqreen的RASP涵盖了OWASP的十大安全漏洞,可以通过SQL注入、XSS、SSRF等完整的请求执行上下文信息,发现应用上线后的漏洞利用和攻击活动。它可以根据请求的执行逻辑拦截攻击,误报率远低于其他解决方案,这是它最大的特点之一。Sqreen还可以自动适配不同的应用技术栈,无需重新部署或配置。6.WhiteSourceBoltforGitHubWhitesource支持200多种编程语言,可以持续扫描自有和公共仓库,检测开源组件中的漏洞并提供修复建议,并且可以持续跟踪多个开源漏洞库,这是一个了不起的功能。这6款开发安全测试工具你收集了吗?上述开源工具只能提供相对基础的保护,在实际操作过程中还需要更多功能更丰富的商业软件和解决方案。
