AICon 上海站|90%日程已就绪,解锁Al未来! 了解详情
写点什么

开发团队必备的 9 款 DevSecOps 工具

  • 2020-01-25
  • 本文字数:2678 字

    阅读完需:约 9 分钟

开发团队必备的9款DevSecOps工具

几年前,DevSecOps 成为敏捷应用安全(AppSec)模块中最受欢迎的新成员。尽管有许多组织仍在寻找如何在整个 DevOps 周期中通过左移和集成确定安全性的方法,但将安全性嵌入到 DevOps 周期中已成为标准。


采用 DevSecOps 方法需要组织转变态度,并将其应用于流程、人员及他们使用的工具。

自动化是 DevSecOps 方法的核心

尽管这种组织变革一直是一个挑战,但是越来越多的企业和组织正在齐心协力地将安全实践向左迁移,并将其纳入 DevOps 周期,以确保实施必要的安全检查而不会影响产品上市时间。



DevSecOps 方法的一个主要组成部分是自动化:在整个 SDLC 中,尽早并尽可能频繁地确保安全性贯穿于整个开发生命周期,从而节省时间和金钱,并减少安全团队和开发团队之间的摩擦。


这里,我们汇总了一些顶级的 DevSecOps 工具,组织可以把它们集成到 DevOps 管道中,来确保安全能在整个开发生命周期中持续得到处理。

1、Codacy

Codacy为开发团队提供一个高质量的自动化和标准化解决方案,这样他们可以尽可能地左移,并在开发过程中提前发现新问题。其静态代码分析工具能帮助开发人员直接从 Git 工作流自动识别和处理一些问题,包括安全、复杂性等。


它涵盖 20 多种编程语言,并很容易集成到开发人员的工作流程中,使他们了解其代码质量。


这样,他们可以随时间发展跟踪项目质量,从而轻松解决可能出现的任何“技术债”。


Codacy 宣称,已在代码审查和代码质量监控上为开发人员节省了数千小时,让他们可以专注于开发,而 Codacy 使创建高质量的软件过程变得更简单。

2、SonarQube

它是由 SonarSource 开发的开源项目,致力于通过自动化来帮助开发人员。SonarQube 是一个自动化代码审查工具,可用于检测代码中的错误、漏洞。



它可与开发团队的本地工作流集成,并为他们提供跨所有项目 branches 和 PR 的持续代码检查。


SonarQube 支持近30种编程语言,并提供了持续的代码检查,以便小型开发团队和企业都能发现漏洞并修复可能危害其应用程序的漏洞,从而防止未定义的行为影响最终用户。

3、Acunetix

它提供了一个集多种功能于一身的网站安全扫描器,帮助开发人员尽早发现漏洞。



Acunetix致力于通过提供专业的技术,帮助开发人员发现更多问题并快速修复,从而帮助有大型 Web 网站的公司保护其 Web 资产免受黑客攻击。该解决方案易于使用,并可实现集中化、自动化和集成。


此外,它是一个强大的解决方案,因为它专注于 Web 安全,并拥有高速扫描、最小误报、易用性、独特的技术和 SDLC 集成等特性。

4、Logz.io

Logz.io是由工程师创立的,为工程师提供服务。它利用 ELK & Grafana 提供可伸缩的“云观测能力”,因此开发人员能轻松监控、排除故障并确保线上安全。


这个日子管理和日志分析解决方案提供许多有用的特性,其中包括安全分析,它能帮助任何规模的组织应对威胁并保持兼容。


Logz.io 的安全分析允许开发人员将安全性集到 DevOps 管道中,该管道已经包含用于操作的工具和数据,这样就可以在不牺牲速度和敏捷性的情况下识别更多信息,还能进行高级威胁检测和关联。


此外,它还提供了内置报告、规则和集成,来帮助组织保持兼容。

5、GitLab

GitLab是一个基于 Web 的 DevOps 平台,可在单个应用程序中提供完整的开箱即用的 CI/CD 工具链。


它支持开发团队、安全团队和运维团队之间的协作,并能通过简化工具链的复杂性,提高他们交付的速度,以及在不减慢 CI/CD 管道的情况下解决安全漏洞。



除了被任命为 CI leader之外,GitLab 还提供完整的软件包,帮助组织通过消除部门孤岛来缩短 DevOps 周期,并支持统一的工作流,减少之前独立的活动节点,比如应用程序安全性、CI/CD 等活动节点。

6、Contrast Security

它提供一个 RASP 和 IAST 的解决方案,帮助组织创建可自我保护的软件。



Contrast Security的解决方案已集成到用户的应用程序中,并能在后台持续运行。 其套件的第一部分称为 Contrast Assess,可在发现漏洞时提醒开发人员。第二部分称为 Contrast Protect,它用相同的嵌入式代理,在生产环境中查找漏洞和未知威胁,并将发现内容报告给 SIEM 控制台、下一代防火墙或组织所拥有的任何其他安全工具。


最近,Contrast Security 还改进其早期成熟产品,并推出 Contrast OSS 帮助组织通过自动化的开源风险管理来处理开源的安全性。

7、Aqua Security

它有助于节省时间,在整个 DevSecOps 管道中提供容器安全性。


Aqua的云原生安全平台为用户提供了对容器化环境的全面控制,并具有严格的运行时安全控制和大规模的入侵防御能力。该平台为用户提供了一个易于集成和自动化的 API。



Aqua 容器安全平台还提供完整的 SDLC 控件,可用于保护在本地或云上以及在 Windows 或 Linux 上运行的容器化应用程序。并且,它支持各种业务流程环境。

8、XebiaLabs

XebiaLabs在 DevOps 的早期已经出现,它能帮助企业加快发布速度,并为大型组织具有的多样化的基础设施和复杂流程提供支持。


XebiaLabs DevOps 平台提供一个完整的应用程序发布编排(ARO)解决方案,涵盖从发布编排到部署自动化以及 DevOps 智能等所有方面。



团队几乎可在任何环境中使用它,包括云、容器、中间件和大型机上。


该平台能无缝集成到 DevOps 管道中,并将组织所有的 DevOps 工具统一到单个接口中,以便它们能协调和自动化整个软件交付和部署过程,包括 CI、安全性、数据库、分析、环境配置、问题跟踪和报告等。

9、WhiteSource

许多 DevSecOps 工具遗漏另一种风险:开源漏洞


当今的典型应用程序大多包含 60%-80%的开源代码,因此组织不能忽视开源安全管理,需部署一个专用解决方案在整个 DevSecOps 管道中跟踪和提醒用户开源风险。这一点相当重要。


WhiteSource 可集成到 DevOps 管道中,并与 200 多种编程语言以及各种构建工具和开发环境兼容。它能在后台自动持续地运行,跟踪开源组件的安全性、授权和质量,并将它们与 WhiteSource 开源的综合数据库进行匹配,以提供实时告警、优先级和补救措施等。

荣誉提名:Secure Code Warrior

除了上述 9 款工具,这里还要提一下:Secure Code Warrior。


通过指导开发人员如何掌握安全编码的方式,它为开发人员提供其所需帮助,让他们以安全的头脑思考和行动。


这个聪明的解决方案可以教开发人员在游戏化的环境中识别并修复应用程序代码中的漏洞。


Secure Code Warrior 希望向开发人员提供一种从一开始就能编写安全代码的技能,帮助他们更好地处理安全代码。


请注意,在整个组织中采用 DevSecOps 方法绝非易事。俗话说,“罗马不是一天建成的”,组织变革也非一蹴而就。


而选择正确的自动化 DevSecOps 工具确是一个好开端。


英文原文:


9 Great DevSecOps Tools for Dev Teams to Integrate Throughout the DevOps Pipeline


2020-01-25 07:005399
用户头像

发布了 342 篇内容, 共 244.7 次阅读, 收获喜欢 630 次。

关注

评论 1 条评论

发布
用户头像
收藏
2020-01-25 19:31
回复
没有更多了
发现更多内容

离线批处理的咽喉——Flume基础配置简析

怀瑾握瑜的嘉与嘉

flume 7月月更

国产EDA验证调试工具实现破局 助力芯片设计效率提升

科技热闻

TiFlash 面向编译器的自动向量化加速

PingCAP

TiDB

2022年中国互联网医疗年度盘点

易观分析

互联网医疗

将 Terraform 生态粘合到 Kubernetes 世界

阿里巴巴云原生

阿里云 容器 云原生 KubeVela terrafrom

java培训如何防止 jar 被反编译

@零度

JAVA开发 jar被反译

JS 逆向 SMZDM 的登录加密,你学过全文扣JS代码解密吗?

梦想橡皮擦

Python 爬虫 7月月更

一文搞懂│工厂模式、单例模式、策略模式、适配器模式、观察者模式的原理和使用

设计模式 策略模式 观察者模式 适配器模式 7月月更

干货分享 | 数据仓库如何应对资源不足?9招解除故障

雨果

数据仓库

DNS稳定性建设实战-从主机到k8s

boaker

k8s DNS 成本优化 DNS故障 稳定性保障

官宣|九章云极DataCanvas核心产品通过 “可信大数据”权威评测

九章云极DataCanvas

人工智能 大数据 数据处理 中国信通院 实时决策

【愚公系列】2022年7月 Go教学课程 010-数据类型之布尔型和字符类型

愚公搬代码

7月月更

阿里云机器学习平台PAI论文高效大模型训练框架Whale入选USENIX ATC'22

阿里云大数据AI技术

深度学习 分布式训练 异构计算

大数据基础知识介绍

Lansonli

大数据 7月月更 大数据基础

一文读懂:本地数据湖丨数据仓库丨云数据湖的利与弊

雨果

数据仓库 数据湖

数据架构师、数据分析师、数据工程师哪个工资更高?

雨果

数据分析师 数据工程师 数据架构师

新思科技聚焦开源治理 助力提升中国开源产业安全及合规水平

InfoQ_434670063458

开源 软件 供应链 新思科技

想低成本保障软件安全?5大安全任务值得考虑

SEAL安全

安全左移

易观分析加入智能投研技术联盟,共促行业数智化发展

易观分析

易观新闻

新思科技助力提升开源治理水平

InfoQ_434670063458

开源 新思科技 软件供应链

得物App数据模拟平台的探索和实践

得物技术

大前端 方案设计 Mooncake 数据模拟平台

ShardingSphere 云上实践:开箱即用的 ShardingSphere-Proxy 集群

SphereEx

数据库 云原生 ShardingSphere

五个核心能力打造普惠金融商业化发展模式

易观分析

普惠金融

『51单片机』十分钟学会定时器

謓泽

7月月更

数据治理实施前必须准备的21条锦囊妙计

雨果

数据治理

AOP 注解详解

武师叔

7月月更

百问百答第46期:极客有约——可观测四类问题的核心思想解析

博睿数据

APM 智能运维 博睿数据 可观测 性能监测

JAVA编程规范之命名风格

源字节1号

软件开发

6月月更开奖!速来领取你的奖品!

InfoQ写作社区官方

热门活动 6月月更

web前端培训4个常见的算法问题分享

@零度

算法 前端开发

互联网裁员潮来袭,这5类职场人最容易被淘汰

雨果

互联网裁员

开发团队必备的9款DevSecOps工具_安全_Ayala Goldstein_InfoQ精选文章