開源為我們的開發帶來了極大便利，但這些便利也伴隨著一些安全隱患。每當項目引入一個庫、框架、服務時，隨之而來的安全風險也不可忽視。

所以，當開源吞噬世界的時候，代碼安全就更得重視了。今天 HelloGitHub 就給大家帶來了 10 款關于安全主題的開源項目，涵蓋了編碼安全、Web 安全、工具三個方面，雖不能做到面面俱到，但希望它可以拋磚引玉，借此喚起大家的安全意識。

如果你早就認識到代碼安全的重要性，那這些開源項目中肯定也有適合你的一款，話不多說，下面就開始今天的“安全教育”。

一、編碼安全

從編碼習慣入手，提高安全意識。

1、secguide

騰訊開源的代碼安全指南。該項目包含：C/C++、Python、JavaScript、Java、Go 等語言的安全編碼指南，內容簡單易懂能夠幫助開發者，在代碼源頭規避安全風險、減少漏洞。

地址：https://github.com/Tencent/secguide

2、safe-rules

由 360 質量工程部開源的《代碼安全規則集合》。一份全面詳細的 C/C++ 編程規范指南，適用于桌面、服務端以及嵌入式等軟件開發。

地址：https://github.com/Qihoo360/safe-rules

二、Web 安全

通過檢查容易出錯的地方，從而保證 Web 服務的安全性。

3、security-guide-for-developers

實用的 Web 開發人員安全須知。作為一個 Web 開發者，你應該在實際工作中認真、經常地使用這套列表，能夠有效地減少安全隱患。

地址：https://github.com/FallibleInc/security-guide-for-developers

4、Learn-Web-Hacking

一份很全面的 Web 安全學習筆記，內容包括網絡協議、信息收集、常見漏洞攻防、內網滲透等。

地址：https://github.com/LyleMi/Learn-Web-Hacking

5、Top10

該項目由 OWASP 社區（開放式 Web 應用程序安全項目）一個致力于提高軟件安全性的非盈利基金會維護，OWASP Top 10 是針對 Web 應用程序的 10 大安全風險提示。

地址：https://github.com/OWASP/Top10

6、API-Security-Checklist

開發安全的 API 所需要核對的清單。在設計、測試和發布 API 的時候，需要核對的重要安全措施。

地址：https://github.com/shieldfy/API-Security-Checklist

三、工具

代碼千萬行，安全第一行。代碼量多了，就得借助工具來發現安全隱患啦。

7、nuclei

基于 YAML 語法模板的定制化快速漏洞掃描器，工程師可以輕松地使用它創建一套自定義的檢查方式。

支持多種協議：TCP、DNS、HTTP 等。

通過工作流和動態請求實現復雜的漏洞掃描。

易于集成到 CI/CD，可以輕松的集成到發布流程上。

地址：https://github.com/projectdiscovery/nuclei

8、gitleaks

一款靜態應用程序安全測試(SAST)工具。它可以檢測 Git 項目中是否包含密碼、API Key、token 等敏感信息，還能夠輕松整合到 Git Hook 和 GitHub Action，實現提交代碼時自動檢測，通過告警和阻止 push 等方式，有效地防止敏感信息泄漏。

地址：https://github.com/zricethezav/gitleaks

9、trivy

一款全面的容器安全掃描工具。當下最流行的開源容器鏡像漏洞掃描工具，擁有速度快、精準度高、依賴檢測、機密檢查、對 CI 友好等特點。它不僅安裝簡單而且容易上手，僅需一條命令，即可發現鏡像存在的安全漏洞。

地址：https://github.com/aquasecurity/trivy

10、vulhub

一個面向大眾的開源漏洞環境集合。無需 Docker 知識，僅需通過一條簡單的命令，就能跑起來一個存在某個漏洞的完整應用。使得安全研究人員能夠方便地復現與研究漏洞，省去了學習復雜的部署知識、尋找有漏洞的舊版本應用、搭建依賴的服務等麻煩。

地址：https://github.com/vulhub/vulhub

最后

本期的項目雖然沒有太多的趣味性，但都是良心之作“苦口婆心”。代碼安全無小事，只有不出事和事故兩種情況，嘴上喊一萬遍“安全第一”(我都懂，空了就改)，不如立馬帶上個“安全帽”(跑個安全掃描器)來得實在。