請收下這 10 個安全相關的開源項目
開源為我們的開發帶來了極大便利,但這些便利也伴隨著一些安全隱患。每當項目引入一個庫、框架、服務時,隨之而來的安全風險也不可忽視。
所以,當開源吞噬世界的時候,程式碼安全就更得重視了。今天 HelloGitHub 就給大家帶來了 10 款關於安全主題的開源項目,涵蓋了編碼安全、Web 安全、工具三個方面,雖不能做到面面俱到,但希望它可以拋磚引玉,藉此喚起大家的安全意識。
如果你早就認識到程式碼安全的重要性,那這些開源項目中肯定也有適合你的一款,話不多說,下面就開始今天的「安全教育」。
一、編碼安全
從編碼習慣入手,提高安全意識。
1、secguide
騰訊開源的程式碼安全指南。該項目包含:C/C++、Python、JavaScript、Java、Go 等語言的安全編碼指南,內容簡單易懂能夠幫助開發者,在程式碼源頭規避安全風險、減少漏洞。
2、safe-rules
由 360 品質工程部開源的《程式碼安全規則集合》。一份全面詳細的 C/C++ 編程規範指南,適用於桌面、服務端以及嵌入式等軟體開發。
二、Web 安全
通過檢查容易出錯的地方,從而保證 Web 服務的安全性。
3、security-guide-for-developers
實用的 Web 開發人員安全須知。作為一個 Web 開發者,你應該在實際工作中認真、經常地使用這套列表,能夠有效地減少安全隱患。中文翻譯版
4、Learn-Web-Hacking
一份很全面的 Web 安全學習筆記,內容包括網路協議、資訊收集、常見漏洞攻防、內網滲透等。在線閱讀
5、Top10
該項目由 OWASP 社區(開放式 Web 應用程式安全項目)一個致力於提高軟體安全性的非盈利基金會維護,OWASP Top 10 是針對 Web 應用程式的 10 大安全風險提示。在線閱讀
6、API-Security-Checklist
開發安全的 API 所需要核對的清單。在設計、測試和發布 API 的時候,需要核對的重要安全措施。中文
三、工具
程式碼千萬行,安全第一行。程式碼量多了,就得藉助工具來發現安全隱患啦。
7、nuclei
基於 YAML 語法模板的訂製化快速漏洞掃描器,工程師可以輕鬆地使用它創建一套自定義的檢查方式。
- 支援多種協議:TCP、DNS、HTTP 等
- 通過工作流和動態請求實現複雜的漏洞掃描
- 易於集成到 CI/CD,可以輕鬆的集成到發布流程上
8、gitleaks
一款靜態應用程式安全測試(SAST)工具。它可以檢測 Git 項目中是否包含密碼、API Key、token 等敏感資訊,還能夠輕鬆整合到 Git Hook 和 GitHub Action,實現提交程式碼時自動檢測,通過告警和阻止 push 等方式,有效地防止敏感資訊泄漏。
9、trivy
一款全面的容器安全掃描工具。當下最流行的開源容器鏡像漏洞掃描工具,擁有速度快、精準度高、依賴檢測、機密檢查、對 CI 友好等特點。它不僅安裝簡單而且容易上手,僅需一條命令,即可發現鏡像存在的安全漏洞。
10、vulhub
一個面向大眾的開源漏洞環境集合。無需 Docker 知識,僅需通過一條簡單的命令,就能跑起來一個存在某個漏洞的完整應用。使得安全研究人員能夠方便地復現與研究漏洞,省去了學習複雜的部署知識、尋找有漏洞的舊版本應用、搭建依賴的服務等麻煩。
最後
本期的項目雖然沒有太多的趣味性,但都是良心之作「苦口婆心」。程式碼安全無小事,只有不出事和事故兩種情況,嘴上喊一萬遍「安全第一」(我都懂,空了就改),不如立馬帶上個「安全帽」(跑個安全掃描器)來得實在。
好了,以上就是本期的所有內容,如果您覺得這期內容還不錯:求贊、求收藏、求轉發,您的支援就是對我最大的鼓勵!❤️
