- 结果质量:开发视角下的结果准确度
- 易用性:可以命令行使用也可以与各类IDE整合,速度快,结果易理解
- 成熟度:社区支持情况、bug修复情况、证书情况
- 可扩展:工具容易被扩展,以适用于开发者
![](https://blog.nsfocus.net/wp-content/uploads/2023/05/图片9-300x95.png)
表1 每种类别推荐的开源工具
一、代码扫描
- OWASP十大安全风险
- CWE 25个最常见漏洞
- 机密信息
- 自定义规则(例如身份认证/授权信息等)
![](https://blog.nsfocus.net/wp-content/uploads/2023/05/WeChat5e3f8c96ed10c836bc6d4fd5db2a11fe-300x127.png)
图1 代码扫描工具候选集
![](https://blog.nsfocus.net/wp-content/uploads/2023/05/图片10-300x67.png)
图2 Semgrep 支持的语言列表
![](https://blog.nsfocus.net/wp-content/uploads/2023/05/图片11-300x239.png)
图3 Semgrep扫描结果
二、依赖检查
![](https://blog.nsfocus.net/wp-content/uploads/2023/05/WeChat3025442cbe1f988ca343dd8b851feb19-300x133.png)
图4 依赖检查工具候选集
![](https://blog.nsfocus.net/wp-content/uploads/2023/05/图片12-300x123.png)
图5 OSV-Scanner随时间变化打星的趋势图
![](https://blog.nsfocus.net/wp-content/uploads/2023/05/图片13-300x75.png)
图6 使用osv-scanner扫描npm lockfile的输出
三、基础设施扫描
- 缺少加密
- 宽泛的权限设置
- 缺少日志记录
- 默认设置
![](https://blog.nsfocus.net/wp-content/uploads/2023/05/图片14-300x120.png)
图7 基础设施扫描工具候选集
![](https://blog.nsfocus.net/wp-content/uploads/2023/05/图片15-300x189.png)
图8 使用Terraform创建EBS卷
![](https://blog.nsfocus.net/wp-content/uploads/2023/05/图片16-300x155.png)
图9 KICS扫描结果
四、容器扫描
![](https://blog.nsfocus.net/wp-content/uploads/2023/05/图片17-300x112.png)
图10 容器扫描工具候选集
![](https://blog.nsfocus.net/wp-content/uploads/2023/05/图片18-300x83.png)
图11 Trivy扫描wordpress镜像结果
五、运行时扫描
![](https://blog.nsfocus.net/wp-content/uploads/2023/05/WeChatdbdd14576d8bc5a04d4ddf1047e4dfe4-300x118.png)
图12 运行时扫描工具候选集
![](https://blog.nsfocus.net/wp-content/uploads/2023/05/图片20-300x140.png)
图13 ZAP扫描输出结果
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。