讓開發人員全心全意投入應用安全(APPSEC)的關鍵方法之一，就是清除掉將安全過程嵌入日常工作流時遇到的諸多麻煩。DevSecOps取得成功的一大因素，在于公司有能力實現開發人員不會痛恨的安全工具。

[[231469]]

為此，公司企業需改善安全測試工具包與開發人員所用其他軟件開發工具之間的集成。值得慶幸的是，這種集成還沒到需要搶銀行的燒錢程度。雖然也不是完全零花費，但確實大多數能良好集成進持續工作流的DevOps友好安全工具往往是免費的。

下面就列出其中幾個最具前景的DevOps友好免費工具。

1. OWASP Zed Attack Proxy (ZAP)

由推出行業標準基準 OWASP 10大漏洞列表的同一組織領導，OWASP ZAP 賦予開發人員免費自動化安全掃描的能力。ZAP已被很多企業采納，其蘊含的一大DevOps優勢，是擁有一款評價很好的，能幫開發團隊無縫融合進DevOps工具鏈的Jenkins插件。

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

2. Gauntlt

作為專門為嵌入持續集成(CI)流水線而生的安全測試框架，Gauntlt在開發界和安全界都有大批擁躉。它之所以如此受歡迎，是因為能讓DevOps團隊自動化測試所用Cucumber框架中許多現有安全工具發揮作用。

http://gauntlt.org

3. BDD-Security

BDD-Security提供了安全驗收測試框架的額外選擇。該工具采用“行為驅動開發”的概念幫助團隊設立并自動測試其安全規范，且同樣基于Cucumber測試框架。BDD-Security 預置支持 Selenium/WebDriver、OWASP ZAP、SSLyz和Nessus，是一款無需訪問目標源代碼即可工作的外部掃描器。

https://github.com/continuumsecurity/bdd-security

4. Git-Hound

如果缺乏足夠的過程或工具幫助開發人員約束敏感數據，DevOps往GitHub上倉促提交代碼的行為無疑會引入很多風險。最近兩年我們見證了數起相當引人注目的GitHub代碼倉庫敏感數據泄露事件，都是因為松懈的安全實踐引起的。比如2016年的Uber數據泄露事件。Git-Hound是一款旨在減少此類敏感數據泄露風險的免費安全工具，可以提供對敏感數據提交的自動檢查，避免敏感數據被提交到代碼倉庫中。

https://github.com/ezekg/git-hound

5. Brakeman

Brakeman是一款開源靜態代碼分析工具，有著成熟而活躍的社區支持，能夠捕獲 Ruby on Rails 應用中的安全漏洞。自2013年首度進入人們視線以來，Brakeman發展一直很好，最近更是打破了1100萬下載大關。

https://brakemanscanner.org

6. FindSecurityBugs

與Brakeman類似，FindSecurityBugs也是一款免費靜態代碼分析攻擊，只不過分析目標主要集中在Java應用程序上。它能嵌入集成開發環境(IDE)，有適用于Jenkins、Eclipse和Maven等多種平臺的有用插件。

https://find-sec-bugs.github.io

7. Archery

Archery今年早些時候才在黑帽亞洲的武器庫上亮相，是本列表中相對較年輕的一員，但絕對有實力脫穎而出。這是一款開源漏洞評估及管理工具，用Selenium執行動態身份驗證掃描。Archery的 REST API 能讓開發人員方便地將之融入DevOps工具集，應會受到開發人員的廣泛歡迎。

https://github.com/toolswatch/blackhat-arsenaltools/blob/master/vulnerability_assessment/archery.md

8. CIS Kubernetes 標準檢查程序

DevOps團隊紛紛投入Kubernets的懷抱以有效編配其容器化的工作負載。Kubernetes為容器化應用部署提供了強有力的可擴展工具，但正如任何強力可擴展工具所需的，它也要求有一些重要的安全實踐以確保過程中的風險被控制在最小。幸運的是，互聯網安全中心(CIS)發展出了一整套強化Kubernetes實現的建議。該工具提供一套很有價值的自動化腳本，可幫助公司企業遵從那些標準。

https://github.com/neuvector/kubernetes-cis-benchmark

9. Cloudsploit

說到企業AWS安全，最近兩年的尷尬事還真不少。為了更快推送代碼，很多軟件公司在開發環境安全保護方面可謂十分松懈，也由此導致了數起引人注目的數據泄露事件。Cloudsploit幫助DevOps團隊掃描其AWS實例，查找能直接導致此類數據曝光的各種配置錯誤和其他安全風險。

https://github.com/cloudsploit/scans

10. InSpec

InsSpec由基礎設施即代碼提供商Chef主導，提供將合規、安全和策略要求融入到基礎設施即代碼思想中的工具。該開源項目促進了將策略轉變為人類和機器可讀的語言。這是一個平臺無關的項目，不單單是Chef可用，Puppet環境也能用，Docker、Azure、AWS等其他平臺和系統中同樣表現良好。

https://www.inspec.io

【本文是51CTO專欄作者“”李少鵬“”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文