開源為我們的開發帶來了極大便利,但這些便利也伴隨著一些安全隱患。每當項目引入一個庫、框架、服務時,隨之而來的安全風險也不可忽視。
所以,當開源吞噬世界的時候,代碼安全就更得重視了。今天 HelloGitHub 就給大家帶來了 10 款關于安全主題的開源項目,涵蓋了編碼安全、Web 安全、工具三個方面,雖不能做到面面俱到,但希望它可以拋磚引玉,借此喚起大家的安全意識。
如果你早就認識到代碼安全的重要性,那這些開源項目中肯定也有適合你的一款,話不多說,下面就開始今天的“安全教育”。
一、編碼安全
從編碼習慣入手,提高安全意識。
1、secguide
騰訊開源的代碼安全指南。該項目包含:C/C++、Python/ target=_blank class=infotextkey>Python、JAVAScript、Java、Go 等語言的安全編碼指南,內容簡單易懂能夠幫助開發者,在代碼源頭規避安全風險、減少漏洞。
地址:Github.com/Tencent/secguide2、safe-rules
由 360 質量工程部開源的《代碼安全規則集合》。一份全面詳細的 C/C++ 編程規范指南,適用于桌面、服務端以及嵌入式等軟件開發。
地址:github.com/Qihoo360/safe-rules二、Web 安全
通過檢查容易出錯的地方,從而保證 Web 服務的安全性。
3、security-guide-for-developers
實用的 Web 開發人員安全須知。作為一個 Web 開發者,你應該在實際工作中認真、經常地使用這套列表,能夠有效地減少安全隱患。中文翻譯版
地址:github.com/FallibleInc/security-guide-for-developers4、Learn-Web-Hacking
一份很全面的 Web 安全學習筆記,內容包括網絡協議、信息收集、常見漏洞攻防、內網滲透等。在線閱讀
地址:github.com/LyleMi/Learn-Web-Hacking5、Top10
該項目由 OWASP 社區(開放式 Web 應用程序安全項目)一個致力于提高軟件安全性的非盈利基金會維護,OWASP Top 10 是針對 Web 應用程序的 10 大安全風險提示。在線閱讀
地址:github.com/OWASP/Top106、API-Security-Checklist
開發安全的 API 所需要核對的清單。在設計、測試和發布 API 的時候,需要核對的重要安全措施。中文
地址:github.com/shieldfy/API-Security-Checklist三、工具
代碼千萬行,安全第一行。代碼量多了,就得借助工具來發現安全隱患啦。
7、nuclei
基于 YAML 語法模板的定制化快速漏洞掃描器,工程師可以輕松地使用它創建一套自定義的檢查方式。
- 支持多種協議:TCP、DNS、HTTP 等
- 通過工作流和動態請求實現復雜的漏洞掃描
- 易于集成到 CI/CD,可以輕松的集成到發布流程上
地址:github.com/projectdiscovery/nuclei8、gitleaks
一款靜態應用程序安全測試(SAST)工具。它可以檢測 Git 項目中是否包含密碼、API Key、token 等敏感信息,還能夠輕松整合到 Git Hook 和 GitHub Action,實現提交代碼時自動檢測,通過告警和阻止 push 等方式,有效地防止敏感信息泄漏。
地址:github.com/zricethezav/gitleaks9、trivy
一款全面的容器安全掃描工具。當下最流行的開源容器鏡像漏洞掃描工具,擁有速度快、精準度高、依賴檢測、機密檢查、對 CI 友好等特點。它不僅安裝簡單而且容易上手,僅需一條命令,即可發現鏡像存在的安全漏洞。
地址:github.com/aquasecurity/trivy10、vulhub
一個面向大眾的開源漏洞環境集合。無需 Docker 知識,僅需通過一條簡單的命令,就能跑起來一個存在某個漏洞的完整應用。使得安全研究人員能夠方便地復現與研究漏洞,省去了學習復雜的部署知識、尋找有漏洞的舊版本應用、搭建依賴的服務等麻煩。
地址:github.com/vulhub/vulhub最后
本期的項目雖然沒有太多的趣味性,但都是良心之作“苦口婆心”。代碼安全無小事,只有不出事和事故兩種情況,嘴上喊一萬遍“安全第一”(我都懂,空了就改),不如立馬帶上個“安全帽”(跑個安全掃描器)來得實在。
好了,以上就是本期的所有內容,如果您覺得這期內容還不錯:求贊、求收藏、求轉發,您的支持就是對我最大的鼓勵!
