開源為我們的開發帶來了極大便利,但這些便利也伴隨著一些安全隱患。每當專案引入一個庫、框架、服務時,隨之而來的安全風險也不可忽視。
所以,當開源吞噬世界的時候,程式碼安全就更得重視了。今天 HelloGitHub 就給大家帶來了 10 款關於安全主題的開源專案,涵蓋了編碼安全、Web 安全、工具三個方面,雖不能做到面面俱到,但希望它可以拋磚引玉,藉此喚起大家的安全意識。
如果你早就認識到程式碼安全的重要性,那這些開源專案中肯定也有適合你的一款,話不多說,下面就開始今天的“安全教育”。
一、編碼安全
從編碼習慣入手,提高安全意識。
1、secguide
騰訊開源的程式碼安全指南。該專案包含:C/C++、Python、JavaScript、Java、Go 等語言的安全編碼指南,內容簡單易懂能夠幫助開發者,在程式碼源頭規避安全風險、減少漏洞。
地址:github。com/Tencent/secguide
2、safe-rules
由 360 質量工程部開源的《程式碼安全規則集合》。一份全面詳細的 C/C++ 程式設計規範指南,適用於桌面、服務端以及嵌入式等軟體開發。
地址:github。com/Qihoo360/safe-rules
二、Web 安全
透過檢查容易出錯的地方,從而保證 Web 服務的安全性。
3、security-guide-for-developers
實用的 Web 開發人員安全須知。作為一個 Web 開發者,你應該在實際工作中認真、經常地使用這套列表,能夠有效地減少安全隱患。中文翻譯版
地址:github。com/FallibleInc/security-guide-for-developers
4、Learn-Web-Hacking
一份很全面的 Web 安全學習筆記,內容包括網路協議、資訊收集、常見漏洞攻防、內網滲透等。線上閱讀
地址:github。com/LyleMi/Learn-Web-Hacking
5、Top10
該專案由 OWASP 社群(開放式 Web 應用程式安全專案)一個致力於提高軟體安全性的非盈利基金會維護,OWASP Top 10 是針對 Web 應用程式的 10 大安全風險提示。線上閱讀
地址:github。com/OWASP/Top10
6、API-Security-Checklist
開發安全的 API 所需要核對的清單。在設計、測試和釋出 API 的時候,需要核對的重要安全措施。中文
地址:github。com/shieldfy/API-Security-Checklist
三、工具
程式碼千萬行,安全第一行。程式碼量多了,就得藉助工具來發現安全隱患啦。
7、nuclei
基於 YAML 語法模板的定製化快速漏洞掃描器,工程師可以輕鬆地使用它建立一套自定義的檢查方式。
支援多種協議:TCP、DNS、HTTP 等
透過工作流和動態請求實現複雜的漏洞掃描
易於整合到 CI/CD,可以輕鬆的整合到釋出流程上
地址:github。com/projectdiscovery/nuclei
8、gitleaks
一款靜態應用程式安全測試(SAST)工具。它可以檢測 Git 專案中是否包含密碼、API Key、token 等敏感資訊,還能夠輕鬆整合到 Git Hook 和 GitHub Action,實現提交程式碼時自動檢測,透過告警和阻止 push 等方式,有效地防止敏感資訊洩漏。
地址:github。com/zricethezav/gitleaks
9、trivy
一款全面的容器安全掃描工具。當下最流行的開源容器映象漏洞掃描工具,擁有速度快、精準度高、依賴檢測、機密檢查、對 CI 友好等特點。它不僅安裝簡單而且容易上手,僅需一條命令,即可發現映象存在的安全漏洞。
地址:github。com/aquasecurity/trivy
10、vulhub
一個面向大眾的開源漏洞環境集合。無需 Docker 知識,僅需透過一條簡單的命令,就能跑起來一個存在某個漏洞的完整應用。使得安全研究人員能夠方便地復現與研究漏洞,省去了學習複雜的部署知識、尋找有漏洞的舊版本應用、搭建依賴的服務等麻煩。
地址:github。com/vulhub/vulhub
最後
本期的專案雖然沒有太多的趣味性,但都是良心之作“苦口婆心”。程式碼安全無小事,只有不出事和事故兩種情況,嘴上喊一萬遍“安全第一”(我都懂,空了就改),不如立馬帶上個“安全帽”(跑個安全掃描器)來得實在。
好了,以上就是本期的所有內容,如果您覺得這期內容還不錯:求贊、求收藏、求轉發,您的支援就是對我最大的鼓勵!❤️
