開源工具是網絡安全發展的核心動力之一，除了商業安全產品中使用的大量開源代碼外，網絡安全行業大量網絡安全框架、工具、方法、模型甚至情報都以開源方式分享和發展。開源安全項目對于推動網絡安全技術的創新和標準化正發揮著越來越重要的作用。

以下，我們整理了近年來發布的30個不容錯過的優秀開源安全項目，覆蓋大語言模型安全、滲透測試、漏洞掃描和網絡監控、加密和事件響應的各個領域，可幫助個人和企業在新的一年中更好地保護其數字資產：

AI安全

LLM Guard：可用于生產環境的大語言模型開源安全工具

LLM Guard是一個保護和強化大型語言模型(LLM)安全性的開源工具包，專為在生產環境中集成和部署而設計。LLM Guard為大語言模型的輸入和輸出內容提供了全面的評估和保護功能，包括清理、有害語言和數據泄漏檢測以及防止提示注入和越獄攻擊。

LLM Guard可用于防護和強化任何應用于生產環境的大語言模型，包括ChatGPT、Claude、Bard等基礎模型。

地址：https://github.com/laiyer-ai/llm-guard

Vigil：開源LLM安全掃描器

Vigil是一款開源安全掃描程序，可檢測提示注入、越獄以及對大型語言模型(LLM)的其他潛在威脅。該工具還提供自托管所需的檢測簽名和數據集。

地址：https://github.com/deadbits/vigil-llm

滲透測試

SessionProbe：開源多線程滲透測試工具

SessionProbe是一款多線程滲透測試工具，旨在評估Web應用程序中的用戶權限。它獲取用戶的會話令牌并檢查URL列表（如果可以訪問），突出顯示潛在的授權問題。它可以刪除重復的URL列表并提供實時日志記錄和進度跟蹤。

地址：https://github.com/dub-flow/sessionprobe

BloodHound CE 5.0

SpecterOps發布的BleedHound CE（社區版）5.0版本是一種免費的開源滲透測試解決方案，可映射Microsoft Active Directory (AD)和Azure（包括Azure AD/Entra ID）環境中的攻擊路徑。

新版BloodHound CE增加了許多企業級可用性功能，例如容器化部署、REST API、用戶管理和訪問控制。它還顯著提高了性能，簡化了開發，從而加快了開發速度。

地址：https://github.com/BloodHoundAD

GOAD：用于練習攻擊技術的Active Directory實驗環境

Gameof Active Directory (GOAD)是一個免費的滲透測試實驗室。它為滲透測試人員提供了一個易受攻擊的Active Directory環境來練習常見的攻擊方法。

地址：https://github.com/Orange-Cyberdefense/GOAD

紅隊/藍隊

ATT&CK Navigator

ATT&CK Navigator是ATT&CK矩陣的導航和注釋工具，使用方法類似于Excel。它提供了一種可視化防守覆蓋范圍、以及計劃和跟蹤紅/藍團隊活動和技術的方法。它還支持用戶操作矩陣單元格，例如添加注釋或顏色編碼。

ATT&CK Navigator的主要功能是創建自定義圖層，提供ATT&CK知識庫的個性化視角。用戶可通過交互方式或編程方式創建圖層，然后使用導航器進行可視化。

地址：https://github.com/mitre-attack/attack-navigator

Dismap：資產發現與識別

Dismap是一個資產發現和識別工具，支持Web、TCP和UDP等協議，可檢測各種資產類型，適用于內部和外部網絡。Dismap能協助紅隊人員識別潛在風險資產，并支持藍隊人員檢測可疑的脆弱資產。

Dismap的指紋規則庫包含TCP、UDP和TLS協議指紋，以及4500多個Web指紋規則。這些規則有助于識別元素，例如網站圖標、正文、標題和其他相關組件。

地址：https://github.com/zhzyker/dismap

Nidhogg：專為紅隊設計的rootkit

Nidhogg是為紅隊設計的rootkit，整合多種功能且用戶友好，僅通過一個header文件即可輕松集成到紅隊的C2框架中。

Nidhogg與x64版本的Windows10和Windows11兼容。存儲庫包括一個內核驅動程序和一個用于通信目的的C++頭文件。

地址：https://github.com/Idov31/Nidhogg

RedEye：紅隊分析和報告工具

RedEye是CISA和能源部太平洋西北國家實驗室開發的開源分析工具。其目的是支持紅隊分析和報告指揮和控制活動。它幫助運營者評估緩解策略，可視化復雜數據，并根據紅隊評估的結果做出明智的決策。

該工具旨在解析日志，特別是由Cobalt Strike生成的日志，并以易于理解的用戶友好格式呈現數據。用戶可以標記工具中顯示的活動并添加注釋，從而增強協作和分析。RedEye還提供演示模式，允許操作員向利益相關者展示他們的發現和工作流程。

地址：https://github.com/cisagov/RedEye

Nemesis：開源攻擊性數據富化和分析平臺

Nemesis是一個集中式數據處理平臺，可攝取、富化攻擊性安全評估數據（即滲透測試和紅隊參與期間收集的數據）并對其進行分析。

Nemesis旨在自動化操作員在交戰中遇到的許多重復性任務，增強操作員的分析能力和集體知識，并創建盡可能多的操作數據的結構化和非結構化數據存儲，以幫助指導未來的研究并促進進攻性數據分析。

地址：https://github.com/SpecterOps/Nemesis

威脅情報

Mosint：開源自動化電子郵件OSINT工具

Mosint是一款用Go編寫的自動化電子郵件OSINT工具，旨在促進對目標電子郵件的快速高效調查。它集成了多種服務，使安全研究人員能夠快速訪問廣泛的信息。

Mosint與其他工具的最重要區別在于它的速度和集成度。它從多個服務異步提取數據，并且使用簡單。

地址：https://github.com/alpkeskin/mosint

Yeti：開放、分布式、威脅情報存儲庫

Yeti是一個統一平臺，用于整合可觀察數據、妥協指標、TTP和威脅相關知識。它會自動增強可觀察的結果，例如域解析和IP地理定位，從而節省您的精力。憑借其基于Bootstrap構建的用戶友好界面和機器友好的Web API，Yeti能確保個人和集成工具的流暢交互。

地址：https://github.com/yeti-platform/yeti

SpiderFoot：OSINT自動化工具

SpiderFoot是一個開源情報（OSINT）自動化工具。它與各種數據源集成，并采用多種數據分析方法，便于對收集的信息進行導航。

SpiderFoot集成了嵌入式Web服務器，可提供用戶友好的基于Web的界面，用戶也可以選擇完全通過命令行進行操作。該工具用Python 3編碼，并在MIT許可下發布。

地址：https://github.com/smicallef/spiderfoot

云原生應用安全

CNAPPgoat：開源云原生安全測試工具

CNAPPgoat支持AWS、Azure (Microsoft Entra ID)和GCP平臺，用于評估云原生應用程序保護平臺(CNAPP)的安全功能。能幫助企業在易于部署和銷毀的交互式沙箱環境中測試其云安全技能、流程、工具和狀態。

與其它發現潛在攻擊路徑的云安全測試工具不同，CNAPPgoat提供了一個龐大且不斷擴展的場景庫。

地址：https://github.com/ermetic-research/cnappgoat.git

K8s安全

k0smotron：開源K8s集群管理

開源解決方案k0smotron適合企業進行生產級K8s集群管理，提供兩個支持選項。

管理平面和工作平面不必在同一基礎設施提供商上運行，這使得k0smotron成為整合K8s控制平面以實現邊緣、混合和多云部署的理想選擇。此外，這使得將K8s控制平面設置為臨時Pod成為可能，這些Pod可以隨著工作負載需求的變化而啟動或關閉。

地址：https://github.com/k0sproject/k0smotron

Kubescape 3.0提升開源K8s安全性

針對DevSecOps從業者或平臺工程師的開源Kubernetes安全平臺Kubescape已更新到3.0版本。

Kubescape是第一個用于測試K8s是否按照NSA和CISA的Kubernetes Hardening Guidance中的定義安全部署的工具。用戶可根據NSA、MITRE、Devops Best等多個框架檢測錯誤配置，還可以創建自己的框架。

最近的調查顯示,51%的鏡像中存在漏洞,使用kubescape不僅可以掃描容器鏡像中的漏洞，還可以查看kubescape漏洞的嚴重性和最易受攻擊的圖像，并優先修復它們。

地址：https://github.com/kubescape/kubescape

數據安全

Cryptomator：云數據客戶端加密

Cryptomator是一個開源跨平臺工具，為存儲在云中的文件提供客戶端加密。

與許多云提供商提供的加密服務不同（云提供商通常僅在傳輸過程中加密數據或保留解密密鑰本身），Cryptomator確保只有用戶擁有其數據的密鑰。這種方法可將密鑰被盜、復制或濫用的風險降至最低。

Cryptomator還支持用戶從任何設備訪問他們的文件。

地址：https://github.com/cryptomator/cryptomator

Tink：Google開發的加密API

Tink是由Google密碼學家和安全工程師開發的開源加密庫，提供安全且用戶友好的API，通過以用戶為中心的設計方法、嚴謹的實現和代碼審查以及徹底的測試來最大限度地減少常見錯誤。

Tink專門設計用于幫助沒有加密背景的用戶安全地執行加密任務，已部署在Google的眾多產品和系統中。

地址：https://github.com/google/tink

事件調查與響應

AWS Kill Switch：開源事件響應工具

AWS Kill Switch是一種開源事件響應工具，用于在安全事件期間快速鎖定AWS賬戶和IAM角色。當攻擊者已經獲得IAM角色并觸發SOC警報時，工程師可以使用此工具（或從該工具借用代碼作為其工具的一部分）分離所有策略并立即刪除角色（注意：刪除策略、刪除角色以及在生產中應用SCP可能會破壞應用程序）。

地址：https://github.com/secengjeff/awskillswitch

Velociraptor：快速數字取證和事件響應

Velociraptor是一款先進的數字取證和事件響應工具，旨在提高用戶對端點活動的洞察力。該工具支持用戶同時跨多個端點精確、快速地收集數字取證數據。

地址：https://github.com/Velocidex/velociraptor

Malwoverview：流行的威脅狩獵工具

Malwoverview是流行的威脅狩獵工具，可用于惡意軟件樣本、URL、IP地址、域、惡意軟件系列、IOC和哈希的初始和快速評估。

它提供了生成動態和靜態行為報告的功能，并允許用戶從各種端點提交和下載樣本。Malwoverview還可以充當已有沙盒的客戶端，能夠有效分析潛在威脅。

地址：https://github.com/alexandreborges/malwoverview

惡意軟件分析、逆向工程

BinDiff：二進制文件的開源比較工具

BinDiff是一個二進制文件比較工具，可以快速查找反匯編代碼中的差異和相似之處，可用于識別并隔離供應商提供的補丁中的漏洞修復。您還可以在同一二進制文件的多個版本的反匯編之間移植符號和注釋，或使用BinDiff收集代碼盜竊或專利侵權的證據。

地址：https://github.com/google/bindiff

ImHex：二進制數據分析工具

ImHex是一個十六進制編輯器：一種顯示、解碼和分析二進制數據的工具，以對其格式進行逆向工程，提取信息或打補丁。

ImHex提供很多高級功能，例如：完全自定義的二進制模板和模式語言、用于解碼和突出顯示數據中的結構、基于圖形節點的數據處理器、用于在顯示值之前對其進行預處理、反匯編器、差異支持、書簽等等。ImHex在GPLv2許可證下開源。

地址：https://github.com/WerWolv/ImHex

x64dbg：專為Windows設計的二進制調制器

x64dbg是專為Windows操作系統設計的開源二進制調試器，側重于在源代碼不可用時對惡意軟件進行分析或對可執行文件進行逆向工程。

地址：https://github.com/x64dbg/x64dbg

安全運營管理

Logging Made Easy：：讓日志記錄變得簡單

CISA推出的Logging Made Easy (LME)是一種適用于基于Windows的設備的簡單日志管理解決方案，可以免費下載和自行安裝。

日志管理對許多目標組織來說都是一個沉重的負擔，尤其是那些資源有限的組織。CISA的LME是一個交鑰匙解決方案，適合尋求加強網絡安全同時減輕日志管理負擔的公共和私人組織。

地址：https://github.com/cisagov/LME

Wazuh：免費開源XDR和SIEM

Wazuh是一個專為威脅檢測、預防和響應而設計的開源平臺。它可以保護本地、虛擬、容器和云設置中的工作負載。

Wazuh有兩個主要組件：端點安全代理和管理服務器。端點安全代理安裝在受監視的系統上，并負責收集與安全相關的數據。管理服務器接收代理收集的數據并對其執行分析。

Wazuh已與Elastic Stack完全集成，提供搜索引擎和數據可視化工具。此集成允許用戶瀏覽其安全警報并從收集的數據中獲得見解。

地址：https://github.com/wazuh/wazuh

System Informer：多用途系統資源監控工具

System Informer是一個免費的多用途工具，能夠監控系統資源，調試軟件和檢測惡意軟件。

它提供以下功能：

• 概覽正在運行的進程和資源使用情況
• 詳細的系統信息和圖表
• 查看和編輯服務
• 其他一些軟件調試和分析功能

地址：https://github.com/winsiderss/systeminformer    

Prometheus：強大的數據監控解決方案

Prometheus是一個功能強大的為數據監控解決方案，擁有一個大型社區提供支持，該社區由來自700多家企業的6300多位貢獻者組成，代碼提交高達13500次，pullrequest數量超過7200次。

Prometheus的功能特點包括：多維數據模型（基于時間序列的鍵值對）、靈活的查詢和聚合語言PromQL、提供本地存儲和分布式存儲等。

地址：https://github.com/prometheus/prometheus

Matano：可替代SIEM的安全數據湖平臺

Matano是一個開源云原生安全湖平臺，可替代SIEM（安全信息和事件管理）。它可以在AWS平臺上實現大規模PB級的威脅搜尋、檢測、響應和網絡安全分析。

借助Matano，用戶可以使用基于S3（簡單存儲服務）或SQS（簡單隊列服務）的攝取方法來收集數據。它帶有預配置的源，如CloudTrail，Zeek和Okta，并且還會自動從所有SaaS源中檢索日志數據。

地址：https://github.com/matanolabs/matano

Faraday：可視化漏洞管理器

Faraday是一個開源漏洞管理器，可幫助安全專業人員專注于查找漏洞，同時簡化組織他們的工作流程。

Faraday的主要功能之一是能夠聚合和規范化加載到其中的數據。這使管理人員和分析師能夠通過各種可視化來探索數據，從而有助于更好地了解漏洞并有助于決策過程。

地址：https://github.com/infobyte/faraday

DNS安全

PolarDNS：專為安全評估量身定制的開源DNS服務器

PolarDNS是一個專門的權威DNS服務器，允許運營商生成適合DNS協議測試目的的自定義DNS響應。

PolarDNS可用于測試：

• DNS解析器（服務器端）
• DNS客戶端
• DNS庫
• DNS解析器和解析器
• 任何處理DNS信息的軟件

地址：https://github.com/oryxlabs/PolarDNS