Всё через одно место: Собираем информацию по безопасности от инструментов DevSecOps
Василевич Павел, Plesk
Исследования
- VeraCode "State of Software Security" - https://www.veracode.com/sites/default/files/pdf/resources/reports/state-of-software-security-open-source-edition-veracode-report.pdf
- Security Report от GitHub за 2020 - https://octoverse.github.com/static/github-octoverse-2020-security-report.pdf
Зависимости в Golang:
- https://github.com/sonatype-nexus-community/nancy
- https://jeremylong.github.io/DependencyCheck/analyzers/golang-mod.html
Уязвимости в коде (обучение):
- https://owasp.org/www-project-top-ten/
- https://www.sans.org/top25-software-errors/
- https://application.security/free/owasp-top-10
- https://www.root-me.org/
Инструменты статического анализа (SAST):
- https://owasp.org/www-community/Source_Code_Analysis_Tools
- https://semgrep.dev/
- https://www.sonarqube.org/
Инструменты динамического анализа (DAST):
Поиск секретов и чувствительных данных:
- https://github.com/trufflesecurity/truffleHog
- https://github.com/zricethezav/gitleaks
- https://github.com/thoughtworks/talisman
- https://semgrep.dev/
Сетевые сканеры:
Аудит в облаках
- https://github.com/nccgroup/ScoutSuite
- https://github.com/aquasecurity/cloudsploit
- https://github.com/toniblyx/prowler
- Подборка инструментов: https://github.com/toniblyx/my-arsenal-of-aws-security-tools
Сканирование образов:
- https://github.com/aquasecurity/trivy
- https://github.com/quay/clair
- https://github.com/anchore/anchore-engine
- https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html
DefectDojo:
Альтернативы: