DevSecOps 工具一览

几年前，DevOps非常的火热，最近几年，基本上有能力的大公司的都在推行DevOps的最佳实践；但是目前在一些银行，金融，财务，电商等行业里面，DevSecOps也正在流行并大行其道。下面是DevSecOps的定义：

 DevSecOps 是一种把安全的最佳实战集成到DevOps的流程里面。 DevSecOps包括创立一种 安全即代码（‘Security as Code’ ）的文化，从而在发布开发工程师和安全团队之间，建立一种可以持续的，灵活合作的机制和流程，从而把在传统软件开发流程里面最后由安全测试团队把关扫描的安全工作，左移到整个软件开发的全流程，从而大大降低了应用在上线后出现的安全隐患，也大大加快了上线的速度，同时也让其他非安全团队的软件人员在开发，测试，发布的全过程中，有安全意识，而不是时候补救，甚至大大修改框架。

工欲善其事必先利其器，那有哪些安全方面的工具可以帮助到我们的开发人员去自助扫描我们的代码呢？ 一般来说，安全代码的扫描主要分成静态扫描，动态扫描以及交互式扫描。所谓的静态扫描就是工具直接扫描代码的源文件或者二进制文件，是白盒测试，测试者从内部开始测试，通过查看源代码里面的条件从而显示其是否有安全漏洞；动态应用安全测试是黑盒测试，测试这主要从外部进行测试，比如模拟黑客工具，一般针对Web应用程序；而交互式应用安全测试就是通过把安全工具的代理嵌入到应用程序里面，从而在测试应用程序的时候，这个安全代码能够监控到应用系统的网络内容，堆栈等信息，从而嗅探出系统在动态行为下的安全漏洞。

下面对其进行具体的分类：

静态应用安全测试工具 (Static Application Security Test, SAST)

 商业版: Forfify， AppScan, CheckMarx

 开源版：FindSecBugs, Brakeman, PMD

 

动态应用安全测试工具 (Dynamic Application Security Test, DAST)

商业版: WebInSpect， Burp， AppSpider，NetSparker

开源版： Zap， ZapProxy

 

交互式应用安全测试工具 (Interactive Application Security Test, IAST)

商业版:  Contrast， Seeker

开源版： 目前还没有可用的