2019年頂級應(yīng)用安全工具
威瑞森《2018數(shù)據(jù)泄露調(diào)查報告》稱,大多數(shù)黑客攻擊仍是通過Web應(yīng)用發(fā)起。基于此,應(yīng)用測試和防護(hù)就成為了很多公司企業(yè)的首要任務(wù)。如果會利用一些精選應(yīng)用安全工具,這項工作還可以完成得更輕松些。下面便為大家列出2019最佳應(yīng)用安全工具,并附上各自的最有效使用場景。
本列表信息來源包括:
- IT中央站(ITCS)安全應(yīng)用測試工具列表(2018年9月),該列表基于ITCS龐大的IT專業(yè)社區(qū)個人使用體驗評分得出。
- Gartner《應(yīng)用防護(hù)市場指南》(2017年6月)。
- Gartner《應(yīng)用安全測試魔力象限》(2018年3月)。
- 持續(xù)更新的SecTools網(wǎng)絡(luò)安全工具125強。雖然是針對網(wǎng)絡(luò)的安全工具,但其中一些對應(yīng)用測試也很有效。
本應(yīng)用安全工具列表中既包含商業(yè)產(chǎn)品也包含免費工具。沒附上報價的商業(yè)產(chǎn)品往往與該供應(yīng)商其他產(chǎn)品捆綁銷售,如果量大或訂閱時間長會有折扣。一些免費工具,比如 Burp Suite,也有提供更多功能的付費版。
按字母順序表排列的最佳應(yīng)用安全工具奉上:
1. Arxan Application Protection
該工具可用于運行時應(yīng)用自保護(hù)(RASP)。Arxan Application Protection 可抵御逆向工程和代碼篡改,尤其適用于手機應(yīng)用。
- 目標(biāo)用戶:高級開發(fā)人員
- 應(yīng)用聚焦:RASP
- 封裝:Mac、Windows、安卓、iOS、Linux
- 定價:請聯(lián)系供應(yīng)商
2. 新思科技出品的黑鴨子( Black Duck )
黑鴨子軟件可在應(yīng)用開發(fā)過程中自動化開源安全及許可合規(guī),可用于檢測、監(jiān)視、緩解和管理整個開源應(yīng)用資產(chǎn)組合。新思科技一直在并購其他應(yīng)用安全供應(yīng)商,比如Coverity和Codenomicon。
Gartner魔力象限領(lǐng)頭羊
- 目標(biāo)用戶:開源項目開發(fā)者
- 應(yīng)用聚焦:開源應(yīng)用測試
- 封裝:軟件即服務(wù)(SaaS)
- 定價:現(xiàn)場演示版,請聯(lián)系供應(yīng)商
3. PortSwigger出品的 Burp Suite
Burp Suite 是多年來不斷擴展和增強的流行滲透測試工具集之一。其所有工具的HTTP消息、駐留、身份驗證、代理、日志和報警處理與顯示都共享同一個框架。付費版包含更多手動及自動化測試工具,并與Jenkins之類其他框架進(jìn)行了集成,且有文檔完備的 REST API。
ITCS排名第七
- 目標(biāo)用戶:高級開發(fā)人員
- 應(yīng)用聚焦:Web應(yīng)用滲透測試與漏洞掃描器
- 封裝:Mac、Windows、Linux、JAR
- 定價:各版本定價不同,有免費版和最高4,000美元/年的付費版,帶60天免費試用期
4. CA/Veracode應(yīng)用安全平臺
Veracode提供一系列安全測試與威脅緩解技術(shù),全部托管在中心平臺上,開發(fā)和生產(chǎn)情況下都可以用來查找漏洞和評估風(fēng)險。該產(chǎn)品已推出多年,有廣泛的用戶基礎(chǔ),數(shù)10萬不同應(yīng)用都曾用它進(jìn)行測試和評估。Veracode的最小安裝和完全安裝都非常好用,廣受用戶好評。
ITCS排名第一,Gartner魔力象限領(lǐng)跑者
- 目標(biāo)用戶:開發(fā)人員
- 應(yīng)用聚焦:靜態(tài)及動態(tài)代碼掃描
- 封裝:SaaS
- 定價:聯(lián)系供應(yīng)商
5. Checkmarx
Checkmarx提供一系列的應(yīng)用測試工具,包括靜態(tài)及動態(tài)代碼掃描工具和用于分析開源內(nèi)容的工具。這些工具支持一系列編程語言,應(yīng)用廣泛,可以持續(xù)監(jiān)視應(yīng)用程序以檢測漏洞。該公司收購了Codebashing,并將之集成進(jìn)自己的軟件,擴展其安全編碼培訓(xùn)功能。
ITCS排名第二,Gartner魔力象限領(lǐng)先者
- 目標(biāo)用戶:開發(fā)人員
- 應(yīng)用聚焦:靜態(tài)及動態(tài)代碼掃描,安全編碼培訓(xùn)
- 封裝:SaaS和現(xiàn)場
- 定價:聯(lián)系供應(yīng)商,免費演示版
6. MicroFocus出品的Fortify
Fortify集成開發(fā)與測試工具有SaaS、現(xiàn)場版和移動版,可提供持續(xù)應(yīng)用監(jiān)視。盡管企業(yè)監(jiān)管者很多,但從惠普軟件組歸入MicroFocus的Fortify工具歷史悠久,安裝應(yīng)用廣泛。Fortify還可以集成進(jìn) Eclipse IDE 和 Visual Studio 中。
ITCS排名第三,Gartner魔力象限領(lǐng)先者
- 目標(biāo)用戶:開發(fā)人員
- 應(yīng)用聚焦:靜態(tài)及移動代碼掃描
- 封裝:SaaS和現(xiàn)場版
- 定價:15天免費試用,聯(lián)系供應(yīng)商
7. IBM Security AppScan
IBM的應(yīng)用安全軟件很多,其中就有 Security AppScan。共有3個版本:源碼版、標(biāo)準(zhǔn)版和企業(yè)版。該軟件最為著名的一點就是可以導(dǎo)入來自人工代碼審查、滲透測試乃至競爭對手軟件漏洞掃描器的多種數(shù)據(jù)格式,還有移動版可以掃描iOS和安卓應(yīng)用。
ITCS排名第四,Gartner魔力象限領(lǐng)跑者
- 目標(biāo)用戶:大企業(yè)
- 應(yīng)用聚焦:應(yīng)用代碼掃描,包括移動、靜態(tài)和動態(tài)方法。
- 封裝:SaaS和現(xiàn)場
- 定價:30天免費試用,聯(lián)系供應(yīng)商
8. Rogue Wave 出品的Klocwork
Klocwork提供的功能包括靜態(tài)應(yīng)用掃描、持續(xù)代碼集成和代碼架構(gòu)可視化工具,還內(nèi)建有CERT、CWE和OWASP等各種安全標(biāo)準(zhǔn)的檢查工具。Klocwork可標(biāo)記代碼注入、跨站腳本、內(nèi)存泄漏和其他脆弱編碼操作。
ITCS排名第九
- 目標(biāo)用戶:開發(fā)人員
- 應(yīng)用聚焦:靜態(tài)代碼分析器
- 封裝:SaaS
- 定價:免費試用
9. Qualys Web App Scanning
Qualys是應(yīng)用防護(hù)市場的老牌玩家,Qualys Web App Scanning 可查找并分類企業(yè)中所有Web應(yīng)用,執(zhí)行動態(tài)掃描,報告惡意軟件感染,并提供修復(fù)代碼的方法。該產(chǎn)品是名為 Cloud Apps 的完整產(chǎn)品組合中的一部分。Cloud Apps 每年執(zhí)行數(shù)十億次掃描,還包含有基礎(chǔ)設(shè)施和終端安全工具,并支持其他Web應(yīng)用防火墻。這些服務(wù)都有免費的刪減版,還有各種可用于SSL網(wǎng)站、證書和瀏覽器配置的免費檢查工具。
ITCS排名第八
- 目標(biāo)用戶:Web應(yīng)用開發(fā)人員
- 應(yīng)用聚焦:動態(tài)應(yīng)用掃描
- 封裝:SaaS
- 定價:免費版和30天免費試用版,各種訂閱和使用費
10. Imperva出品的Prevoty
Prevoty是又一款用于運行時應(yīng)用自保護(hù)(RASP)的工具,可抵御逆向工程和代碼篡改,尤其適用于手機應(yīng)用。
- 目標(biāo)用戶:開發(fā)人員
- 應(yīng)用聚焦:RASP
- 封裝:SaaS
- 定價:聯(lián)系供應(yīng)商
11. Selenium
Selenium有用于自動化測試Web應(yīng)用及其在各瀏覽器中表現(xiàn)的一整套工具,配合其自身Selenium腳本集成開發(fā)環(huán)境使用。這套工具以瀏覽器擴展的形式實現(xiàn),可供錄制、編輯和調(diào)試測試,還可以錄制和重放其腳本。Selenium還為檢測手機及Web瀏覽器安全問題的各種插件提供廣泛的第三方支持。
- 目標(biāo)用戶:應(yīng)用開發(fā)人員
- 應(yīng)用聚焦:Web應(yīng)用測試
- 封裝:需自備服務(wù)器,支持多種編程語言,包括 C#、Ruby和Python
- 定價:免費
12. OWASP創(chuàng)建的WebGoat
WebGoat是開放Web應(yīng)用安全計劃(OWASP)創(chuàng)建的特設(shè)不安全Web應(yīng)用。OWASP維護(hù)著事實上的關(guān)鍵Web漏洞列表。WebGoat就是個教學(xué)工具,向用戶展示常見漏洞利用的效果和在應(yīng)用中規(guī)避漏洞的必要性。WebGoat提供大量編碼樣例和其他小技巧,面世15年來已出到第八版。
- 目標(biāo)用戶:開發(fā)人員
- 應(yīng)用聚焦:代碼注入、跨站腳本和不安全憑證等問題的測試
- 封裝:JAR文件
- 定價:免費
13. OWASP創(chuàng)建的 Zed Attack 代理
Zed Attack 同樣來自O(shè)WASP,是開源社區(qū)的工作成果,用于在Web應(yīng)用開發(fā)階段自動化查找安全漏洞。Zed Attack 處于用戶App和瀏覽器之間,攔截Web流量并檢查其中有無漏洞。
ITCS排名第六
- 目標(biāo)用戶:開發(fā)人員,尤其是開發(fā)新手
- 應(yīng)用聚焦:僅Web應(yīng)用
- 封裝:Windows、Linux、Mac 和 Docker app,要求有 Java 7+
- 定價:免費
威瑞森《2018數(shù)據(jù)泄露調(diào)查報告》:https://enterprise.verizon.com/resources/reports/dbir/
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
