什么是源代碼安全測(cè)試工具

什么是源代碼安全測(cè)試工具

源代碼安全測(cè)試工具是通過該工具能夠?qū)ava、JSP、JavaSript、?VBSript、C#、VB.Net、VB6、C/C++、ASP等主流編程語言的跨站腳本攻擊、SQL注入、Javascript劫持、日志偽造等安全漏洞技術(shù)指標(biāo)測(cè)試。
源代碼安全測(cè)試覆蓋所有代碼路徑和查找大部分的安全漏洞類型，建立軟件源代碼安全漏洞庫和安全漏洞解決方案庫。培養(yǎng)和鍛煉一批有技術(shù)能力的軟件源代碼安全測(cè)評(píng)人才隊(duì)伍，為企業(yè)、銀行、檢測(cè)機(jī)構(gòu)提供數(shù)據(jù)支撐和決策依據(jù)。
源代碼安全測(cè)試工作在企業(yè)內(nèi)開展，需要從以下三個(gè)方面入手：制度建設(shè)、團(tuán)隊(duì)建設(shè)和技術(shù)建設(shè)。
更多關(guān)于什么是源代碼安全測(cè)試工具，進(jìn)入：https://m.abcgonglue.com/ask/6ecaba1615834269.html?zd查看更多內(nèi)容

最受歡迎的軟件安全性測(cè)試工具有哪些？

之前在做 國內(nèi)軟件測(cè)試現(xiàn)狀調(diào)查 之時(shí)，因?yàn)榘踩詼y(cè)試工具太多，結(jié)果顯示其分布比較廣，填寫“其它”占的比重很高（66%），為此專門做了一個(gè)調(diào)查，雖然收集的有效反饋不多（不到100），但基本反映了測(cè)試工具的使用現(xiàn)狀。

1. 從總體看，（靜態(tài)的）代碼分析工具和（動(dòng)態(tài)的）滲透測(cè)試工具應(yīng)用還是比較普遍，超過60%，而且滲透測(cè)試工具（73.68%）略顯優(yōu)勢(shì)，高出10%。模糊測(cè)試工具，可能大家感覺陌生，低至16%，但它在安全性、可靠性測(cè)試中還是能發(fā)揮作用的。從理論上看，代碼分析工具應(yīng)該能達(dá)到95%以上，因?yàn)樗子?，且安全性已?jīng)是許多公司的紅線，得到足夠重視。希望以后各個(gè)公司能夠加強(qiáng)代碼分析工具和模糊測(cè)試工具的應(yīng)用。

2. Java代碼安全性分析工具前三名是 ： IBM AppScan Source Edition（42.11%）、Fotify Static Code Analyzer（36.84%）、Findbugs（26.32%），而JTest、PMD等沒進(jìn)入前三名，雖然和第3名差距不大，只有5%左右。也有公司使用Checkmarx，不在此調(diào)查中。Coverity也支持Java，可能Java的開源工具較多，人們很少用它。

3. C/C++代碼安全性分析工具前三名是 ： C++Test（38.89%）、IBM AppScan Source Edition（38.89%）、Fotify Static Code Analyzer（27.78%）、Visual Studio（27.78%）。Coverity、CppCheck、LDRA Testbed 沒能進(jìn)入前三名，可能LDRA Testbed比較貴，關(guān)鍵的嵌入式軟件采用比較多，而Coverity Cloud針對(duì)Github等上面的代碼有免費(fèi)服務(wù)（https://scan.coverity.com/projects/cloud-dirigible），大家可以嘗試應(yīng)用。

4. Javascript代碼安全性分析工具應(yīng)用最多的是 Google's Closure Compiler，其次是JSHint，也有的公司用Coverity來進(jìn)行JS的代碼分析。

5. Python代碼安全性分析工具應(yīng)用最多的是Pychecker，其次是PyCharm，而Pylint使用比較少，也有幾個(gè)公司用Coverity來進(jìn)行Python的代碼分析。

6. Web應(yīng)用安全性測(cè)試的商用工具中，IBM AppScan異軍突起，高達(dá)70%的市場(chǎng)，其它商用工具無法與它抗衡，第2名SoapUI和它差距在50%以上，HP webInspect 不到10%。

7. Web應(yīng)用安全性測(cè)試的開源工具中，F(xiàn)irebug明顯領(lǐng)先，將近50%，比第2名OWASP ZAP高12%，第三名是Firefox Web Developer Tools，超過了20%。

8. Android App的安全性測(cè)試工具中，Android Tamer領(lǐng)先，將近30%，比第2、3名AndroBugs、Mobisec、Santoku高15%左右。也有用其它不在調(diào)查項(xiàng)中的工具，總體看，Android App安全性測(cè)試工具分布比較散。

9. 網(wǎng)絡(luò)狀態(tài)監(jiān)控與分析工具中，Wireshark遙遙領(lǐng)先，超過70%。其次就是Tcpdump、Burp Suite，占30%左右。網(wǎng)絡(luò)狀態(tài)監(jiān)控與分析工具挺多的，但從這次調(diào)查看，越來越集中到幾個(gè)工具中，特別是Wireshark功能強(qiáng)，覆蓋的協(xié)議比較多，深受歡迎。

10. SQL注入測(cè)試工具排在前三位的：SQLInjector、SQL Power Injector、OWASP SQLiX，三者比較接近，差距在6%左右。其它兩項(xiàng)工具Pangolin、SQLSqueal也占了10%，而Antonio Parata、Blind SQL Injections、Bsqlbf-v2、Multiple DBMS Sql Injection、Sqlninja幾乎沒什么人用。

安全性測(cè)試工具很多，還包括黑客常用的一些工具，如暴力破解口令工具、端口掃描工具、防火墻滲透工具、滲透測(cè)試平臺(tái)等。從某種意義看，它們超出軟件范疇，更多屬于網(wǎng)絡(luò)空間安全、密碼學(xué)等范疇，在此就不展開了。概括起來最受歡迎的軟件安全性測(cè)試工具有：

滲透測(cè)試工具有哪些

1、Kali Linux
不使用Kali Linux作為基本滲透測(cè)試操作系統(tǒng)，算不上真正的黑客。Kali Linux是基于Debian的Linux發(fā)行版，
設(shè)計(jì)用于數(shù)字取證操作系統(tǒng)。每一季度更新一次。由Offensive Security Ltd維護(hù)和資助。最先由Offensive Security的Mati
Aharoni和Devon Kearns通過重寫B(tài)ackTrack來完成，BackTrack是他們之前寫的用于取證的Linux發(fā)行版。
Kali Linux的前身是BackTrack
Linux，有進(jìn)攻性安全部門的專業(yè)人士維護(hù)，它在各個(gè)方面都進(jìn)行了優(yōu)化，可以作為進(jìn)攻性滲透測(cè)試工具使用。
2、Nmap
Nmap是發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)中任何類型的弱點(diǎn)或漏洞的絕佳工具，它也是審計(jì)的很好工具。該工具的作用是獲取原始數(shù)據(jù)包并確定哪些主機(jī)在網(wǎng)絡(luò)的特定段上可用，正在使用什么操作系統(tǒng)，以及識(shí)別特定主機(jī)的數(shù)據(jù)包防火墻或過濾器的不同類型和版本正在使用。Nmap對(duì)滲透測(cè)試過程的任何階段都很有用并且還是免費(fèi)的。
3、Wireshark
Wireshark是一個(gè)無處不在的工具，可用于了解通過網(wǎng)絡(luò)的流量。雖然通常用于深入了解日常TCP/IP連接問題，但Wireshark支持對(duì)數(shù)百種協(xié)議的分析，包括對(duì)其中許多協(xié)議的實(shí)時(shí)分析和解密支持。如果不熟悉滲透測(cè)試，Wireshark是一個(gè)必須學(xué)習(xí)的工具。
4、John the Ripper
John the
Ripper是一個(gè)很流行的密碼破解工具，是滲透測(cè)試工具包中的一個(gè)很必要的補(bǔ)充。它可以用來確定數(shù)據(jù)庫中的未知弱點(diǎn)，通過從傳統(tǒng)字典中找到的復(fù)雜和流行的單詞列表，獲取文本字符樣本，并用與正在生成的密碼相同的格式，對(duì)其進(jìn)行加密來達(dá)到目的。
5、Hashcat
Hashcat自稱世界上最快和最先進(jìn)的密碼恢復(fù)應(yīng)用程序，可能并不是謙虛，懂Hashcat的人肯定知道它的價(jià)值。Hashcat讓John the
Ripper一籌莫展。它是破解哈希的首選滲透測(cè)試工具，Hashcat支持多種密碼猜測(cè)暴力攻擊，包括字典和掩碼攻擊。
6、Hydra
Hydra在需要在線破解密碼時(shí)發(fā)揮作用，例如SSH或FTP登錄、IMAP、IRC、RDP等等。將Hydra指向你想破解的服務(wù)，如果你愿意，可以給它傳遞一個(gè)單詞列表，然后扣動(dòng)扳機(jī)。像Hydra這樣的工具提醒人們?yōu)槭裁聪拗泼艽a嘗試和在幾次登錄嘗試后斷開用戶連接可以成功地防御攻擊者。
7、Sqlmap
Sqlmap，是非常有效的開源的SQL注入工具，并且自動(dòng)化檢測(cè)和利用SQL注入缺陷并接管數(shù)據(jù)庫服務(wù)器的過程，就像它的網(wǎng)站所說的那樣。Sqlmap支持所有常用目標(biāo)，包括MySQL、oracle、PostgreSQL、Microsoft
SQL、server等。

安全開發(fā)你必須使用的28個(gè)DevSecOps工具

將安全融入開發(fā)過程，更早捕獲并修復(fù)應(yīng)用漏洞，你需要這五類共28款DevSecOps工具。

DevSecOps 是將安全集成到整個(gè)應(yīng)用開發(fā)周期的過程，是從內(nèi)到外強(qiáng)化應(yīng)用，使其能夠抵御各種潛在威脅的理想方式。因?yàn)楹芏喙酒髽I(yè)不斷開發(fā)應(yīng)用以滿足客戶和商業(yè)合作伙伴的需求，DevSecOps的吸引力也與日俱增。

敏捷開發(fā)方法與DevOps操作幫助公司企業(yè)達(dá)成持續(xù)開發(fā)的目標(biāo)。云原生應(yīng)用架構(gòu)也成為了DevSecOps運(yùn)動(dòng)的有力貢獻(xiàn)者，推動(dòng)采用公共云提供商、容器技術(shù)和容器平臺(tái)為應(yīng)用提供計(jì)算能力。DevSecOps將安全過程與工具集成進(jìn)工作流并加以自動(dòng)化，擺脫了傳統(tǒng)方法按時(shí)間點(diǎn)進(jìn)行的潛在干擾，是個(gè)無縫且持續(xù)的過程。

咨詢公司 Data Bridge Market Research 稱，鑒于網(wǎng)絡(luò)安全威脅數(shù)量與危害性的持續(xù)上升，全球DevSecOps市場(chǎng)預(yù)計(jì)將從2018年的14.7億美元增長至2026年的136.3億美元。

市場(chǎng)繁榮之下，DevSecOps工具必將呈現(xiàn)百花齊放百家爭(zhēng)鳴的局面。下面就按核心門類為您呈上多款優(yōu)秀DevSecOps工具。

開發(fā)應(yīng)用的時(shí)候很容易忽略掉安全漏洞。下面的工具為開發(fā)人員提供了潛在安全異常及缺陷的警報(bào)功能，可供開發(fā)人員及時(shí)調(diào)查并修復(fù)這些漏洞，不至于走得太遠(yuǎn)回不了頭。有些工具專用于警報(bào)功能，比如開源的alerta。其他工具則兼具測(cè)試等別的功能，比如 Contrast Assess。

1. alerta

(https://alerta.io/)

該開源工具可將多個(gè)來源的信息整合去重，提供快速可視化功能。alerta與Prometheus、Riemann、Nagios、Cloudwatch及其他監(jiān)視/管理服務(wù)集成，開發(fā)人員可通過API按需定制alerta。

2. Contrast Assess

(https://www.contrastsecurity.com/interactive-application-security-testing-iast)

作為一款互動(dòng)應(yīng)用安全測(cè)試(IAST)工具，Contrast Assess 與用戶應(yīng)用集成，在后臺(tái)持續(xù)監(jiān)視代碼，并在發(fā)現(xiàn)安全漏洞時(shí)發(fā)出警報(bào)。據(jù)稱即便是非安全開發(fā)人員也可使用 Contrast Assess 自行識(shí)別并修復(fù)漏洞。

3. Contrast Protect

(https://www.contrastsecurity.com/runtime-application-self-protection-rasp)

該運(yùn)行時(shí)應(yīng)用自保護(hù)(RASP)工具采用了 Contrast Assess 同款嵌入式代理。Contrast Protect 在生產(chǎn)環(huán)境中查找漏洞利用程序和未知威脅，并將結(jié)果提交給安全信息及事件管理(SIEM)控制臺(tái)、防火墻或其他安全工具。

4. Elastalert

(https://elastalert.readthedocs.io/en/latest/)

Elastalert提供近實(shí)時(shí)接收警報(bào)的框架，可接收來自Elasticsearch數(shù)據(jù)的安全異常、流量激增及其他模式。Elastalert查詢Elasticsearch并根據(jù)一系列規(guī)則比較這些數(shù)據(jù)。一旦出現(xiàn)匹配，Elastalert便發(fā)出警報(bào)并隨附建議動(dòng)作。

大多數(shù)DevSecOps工具都提供一定程度的自動(dòng)化。此類工具自動(dòng)掃描、發(fā)現(xiàn)并修復(fù)安全缺陷，只是自動(dòng)化程度各有不同，從條件式事件驅(qū)動(dòng)的自動(dòng)化到運(yùn)用深度學(xué)習(xí)技術(shù)的自動(dòng)化都有。

1. CodeAI

(http://www.qbitlogic.com/codeai/)

旨在通過深度學(xué)習(xí)技術(shù)自動(dòng)查找并修復(fù)源代碼中的安全漏洞，號(hào)稱可為開發(fā)人員提供可供參考的解決方案列表，而不僅僅是安全問題列表。其供應(yīng)商QbitLogic宣稱，已為CodeAI饋送了數(shù)百萬個(gè)現(xiàn)實(shí)世界漏洞修復(fù)樣本供訓(xùn)練。

2. Parasoft tool suite

(https://www.parasoft.com/)

Parasoft提供包括應(yīng)用開發(fā)安全測(cè)試在內(nèi)的多種自動(dòng)化工具：

1）Parasoft C/C++test

(https://www.parasoft.com/products/ctest)

用于開發(fā)過程早期缺陷識(shí)別；

2）Parasoft Insure++

(https://www.parasoft.com/products/insure)

可以查找不規(guī)范編程及內(nèi)存訪問錯(cuò)誤；

3）Parasoft Jtest

(https://www.parasoft.com/products/jtest)

用于Java軟件開發(fā)測(cè)試；

4) Parasoft dotTEST

(https://www.parasoft.com/products/jtest)

以深度靜態(tài)分析和高級(jí)覆蓋作為 Visual Studio 工具的補(bǔ)充。

3. Red Hat Ansible Automation

(https://www.redhat.com/en/technologies/management/ansible)

該工具包含三個(gè)模塊——Ansible Tower、Ansible Engine 和 Red Hat Ansible Network Automation，可作為無代理IT自動(dòng)化技術(shù)單獨(dú)或聯(lián)合使用。盡管不是專門的安全工具，Ansible Automation 卻可供用戶定義規(guī)則以確定自身軟件開發(fā)項(xiàng)目中哪些部分是安全的。

4. StackStorm

(https://stackstorm.com)

該開源工具號(hào)稱“可進(jìn)行條件式運(yùn)營”，其事件驅(qū)動(dòng)的自動(dòng)化能在檢測(cè)到安全漏洞時(shí)提供腳本化的修復(fù)與響應(yīng)，并附有持續(xù)部署、ChatOps優(yōu)化等功能。

5. Veracode

(https://www.veracode.com/devsecops)

該公司提供DevSecOps環(huán)境中廣泛使用的一系列自動(dòng)化安全工具，包括在代碼編寫時(shí)即時(shí)自動(dòng)掃描的Greenlight；在沙箱中掃描代碼漏洞的 Developer Sandbox；識(shí)別漏洞組件的 Software Composition Analysis (SCA)；以及識(shí)別應(yīng)用缺陷的 Static Analysis。

專用DevSecOps儀表板工具可使用戶在同一圖形界面中查看并共享從開發(fā)伊始到運(yùn)營過程中的安全信息。有些DevSecOps應(yīng)用，比如ThreatModeler和Parasoft已自帶儀表板。

1. Grafana

(https://grafana.com/)

該開源分析平臺(tái)允許用戶創(chuàng)建自定義儀表板，聚合所有相關(guān)數(shù)據(jù)以可視化及查詢安全數(shù)據(jù)。如果不想自行構(gòu)建，還可以在其網(wǎng)站上選用社區(qū)構(gòu)建的儀表板。

2. Kibana

(https://www.elastic.co/products/kibana)

如果你使用Elasticsearch，該開源工具可在統(tǒng)一圖形界面中集成成千上萬的日志條目，包括運(yùn)營數(shù)據(jù)、時(shí)間序列分析、應(yīng)用監(jiān)視等等。

威脅建模DevSecOps工具用以在復(fù)雜的攻擊界面中識(shí)別、預(yù)測(cè)并定義威脅，以便用戶可以做出主動(dòng)安全決策。有些工具可根據(jù)用戶提供的系統(tǒng)及應(yīng)用信息自動(dòng)構(gòu)建威脅模型，并提供可視化界面以幫助安全及非安全人員 探索 威脅及其潛在影響。

1. IriusRisk

(https://continuumsecurity.net/threat-modeling-tool/)

出自 Continuum Security 的解決方案，既可云部署，也可現(xiàn)場(chǎng)部署，能以基于問卷的界面自動(dòng)化風(fēng)險(xiǎn)及需求分析，并設(shè)計(jì)出威脅模型和技術(shù)性安全要求。IriusRisk還可幫助用戶管理代碼構(gòu)建及安全測(cè)試階段。

2. ThreatModeler

(https://threatmodeler.com/)

該自動(dòng)化威脅建模系統(tǒng)有兩個(gè)版本：AppSec版和云版。在提供了用戶應(yīng)用或系統(tǒng)的功能性信息后，ThreatModeler會(huì)基于更新的威脅情報(bào)自動(dòng)就整個(gè)攻擊界面進(jìn)行數(shù)據(jù)分析和潛在威脅識(shí)別。

3. OWASP Threat Dragon

(https://www.owasp.org/index.php/OWASP_Threat_Dragon)

一款基于Web的開源工具，提供系統(tǒng)圖解和用于自動(dòng)化威脅建模與緩解的規(guī)則引擎。Threat Dragon 承諾可與其他軟件開發(fā)生命周期(SDLC)工具無縫集成，且界面易于使用。

在開發(fā)過程中測(cè)試應(yīng)用以找出潛在漏洞是DevSecOps的關(guān)鍵部分，能夠事先發(fā)現(xiàn)安全漏洞，避免漏洞被黑客利用。盡管其他工具往往包含了測(cè)試功能，比如Parasoft出品的那些，下列工具仍然在應(yīng)用安全測(cè)試上表現(xiàn)強(qiáng)勁。

1. BDD-Security

(https://continuumsecurity.net/bdd-security/)

該出自 Continuum Security 的開源框架可使安全人員在敏捷開發(fā)過程中測(cè)試行為驅(qū)動(dòng)開發(fā)(BDD)語言編寫的功能及非功能性安全場(chǎng)景。此BDD框架旨在使安全功能獨(dú)立于應(yīng)用特定的導(dǎo)航邏輯，讓同樣的安全要求能夠更容易地應(yīng)用到多個(gè)應(yīng)用程序上。

2. Checkmarx CxSAST

(https://www.checkmarx.com/products/static-application-security-testing/)

可對(duì)25種編程及腳本語言進(jìn)行未編譯/未構(gòu)建源代碼掃描的靜態(tài)應(yīng)用安全測(cè)試(SAST)工具，能在SDLC早期發(fā)現(xiàn)成百上千種安全漏洞。CxSAST兼容所有集成開發(fā)環(huán)境(IDE)，是Checkmarx軟件暴露平臺(tái)的一部分——該平臺(tái)可在DevOps所有階段植入安全。Checkmarx的交互式應(yīng)用安全測(cè)試(IAST)工具可檢測(cè)運(yùn)行中應(yīng)用的安全漏洞。

3. Chef InSpec

(https://github.com/inspec/inspec)

整個(gè)開發(fā)過程中的每一階段都可以運(yùn)用該開源工具自動(dòng)化安全測(cè)試以確保針對(duì)傳統(tǒng)服務(wù)器及容器和云API的合規(guī)、安全及其他政策要求。

4. Fortify

(https://www.microfocus.com/en-us/solutions/application-security)

Micro Focus 出品，提供端到端應(yīng)用安全，可供進(jìn)行覆蓋整個(gè)軟件開發(fā)生命周期的現(xiàn)場(chǎng)及按需測(cè)試。Fortify on Demand 是 Micro Focus 的應(yīng)用安全即服務(wù)產(chǎn)品，提供靜態(tài)、動(dòng)態(tài)和移動(dòng)應(yīng)用安全測(cè)試，以及生產(chǎn)環(huán)境中Web應(yīng)用的持續(xù)監(jiān)視。

5. Gauntlt

(http://gauntlt.org/)

流行測(cè)試框架，旨在推動(dòng)易操作的安全測(cè)試及安全、開發(fā)和運(yùn)營團(tuán)隊(duì)間的溝通。GauntIt便于產(chǎn)生攻擊測(cè)試用例，且能方便地鉤入現(xiàn)有工具及進(jìn)程。

6. Synopsys suite

(https://www.synopsys.com/)

Synopsys提供多個(gè)應(yīng)用安全測(cè)試工具，包括：

1）SAST工具Coverity

(https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast.html)

自動(dòng)化測(cè)試且融入持續(xù)集成/持續(xù)交付(CI/CD)管道；

2）SCA工具 Black Duck

(https://www.synopsys.com/software-integrity/security-testing/software-composition-analysis.html)

采用容器及應(yīng)用中的開源和第三方代碼檢測(cè)并管理安全；

3）SeekerIAST

(https://www.synopsys.com/software-integrity/security-testing/interactive-application-security-testing.html)

識(shí)別可暴露敏感數(shù)據(jù)的運(yùn)行時(shí)安全漏洞；

以及一系列用于應(yīng)用安全測(cè)試的托管服務(wù)。

以下DevSecOps工具同樣含有上述工具提供的功能，但或多或少略有不同。

1. Aqua Security

(https://www.aquasec.com/)

在整個(gè)CI/CD管道和運(yùn)行時(shí)環(huán)境中管理端到端安全，可用于所有平臺(tái)和云環(huán)境的容器及云原生應(yīng)用。

2. Dome9 Arc

(https://www.checkpoint.com/solutions/devops-security/)

被 Check Point 收購，提供自動(dòng)化測(cè)試及安全實(shí)施，使開發(fā)人員能夠?qū)踩昂弦?guī)融入公共云應(yīng)用的構(gòu)建、部署及運(yùn)營。

3. GitLab

(https://about.gitlab.com/)

該工具可將DevSecOps架構(gòu)融入CI/CD過程，在提交時(shí)測(cè)試每一塊代碼，使開發(fā)人員能夠在編程期間緩解安全漏洞，并提供涵蓋所有漏洞的儀表板。

4. Red Hat OpenShift

(https://www.redhat.com/en/technologies/cloud-computing/openshift)

為基于容器的應(yīng)用提供內(nèi)置安全，比如基于角色的訪問控制、以安全增強(qiáng)的Linux(SELinux)實(shí)現(xiàn)隔離，以及貫穿整個(gè)容器構(gòu)建過程的核查。

5. RedLock

(https://www.paloaltonetworks.com/products/secure-the-cloud/redlock/cloud-security-governance)(前身為Evident.io)

Palo Alto Networks 出品，適用于部署階段，幫助開發(fā)人員快速發(fā)現(xiàn)并緩解資源配置、網(wǎng)絡(luò)架構(gòu)及用戶活動(dòng)中的安全威脅，尤其是在亞馬遜S3存儲(chǔ)桶和彈性塊存儲(chǔ)(EBS)卷上。

6. SD Elements

(https://www.securitycompass.com/sdelements/)

出品自 Security Compass 的自動(dòng)化平臺(tái)，旨在收集客戶軟件信息，發(fā)現(xiàn)威脅及對(duì)策，突出相關(guān)安全控制措施以幫助公司企業(yè)實(shí)現(xiàn)其安全和合規(guī)目標(biāo)。

7. WhiteHat Sentinel 應(yīng)用安全平臺(tái)

(https://www.whitehatsec.com/products/solutions/devsecops/)

該解決方案提供貫穿整個(gè)SDLC的應(yīng)用安全，適用于需將安全集成進(jìn)工具中的敏捷開發(fā)團(tuán)隊(duì)，以及需持續(xù)測(cè)試以保證生產(chǎn)環(huán)境應(yīng)用安全的安全團(tuán)隊(duì)。

8. WhiteSource

(https://www.whitesourcesoftware.com/)

用于解決開源漏洞，可集成進(jìn)用戶的生成過程，無論用戶采用什么編程語言、生成工具或開發(fā)環(huán)境。WhiteSource使用經(jīng)常更新的開源代碼數(shù)據(jù)庫持續(xù)檢查開源組件的安全及授權(quán)。

APP的安全漏洞怎么檢測(cè)，有什么工具可以進(jìn)行檢測(cè)？

目前我經(jīng)常用的漏洞檢測(cè)工具主要就是愛內(nèi)測(cè)，因?yàn)閻蹆?nèi)測(cè)會(huì)根據(jù)應(yīng)用特性，對(duì)程序機(jī)密性會(huì)采取不同程度不同方式的檢測(cè)，檢測(cè)項(xiàng)目包括代碼是否混淆，DEX、so庫文件是否保護(hù)，程序簽名、權(quán)限管理是否完整等；組件安全檢測(cè)主要針對(duì)Activity、Broadcast Receiver、Service、WebView、Intent等是否存在漏洞，并給出針對(duì)性建議；數(shù)據(jù)安全會(huì)全面檢測(cè)APP存在的數(shù)據(jù)泄漏漏洞和輸出層、協(xié)議層等所有涉及數(shù)據(jù)安全的漏洞，確保APP里那些可能導(dǎo)致帳號(hào)泄露的漏洞被全部檢測(cè)出。

軟件測(cè)試工具有哪些？

測(cè)試工具一般可分為白盒測(cè)試工具、黑盒測(cè)試工具、性能測(cè)試工具，另外還有用于測(cè)試管理（測(cè)試流程管理、缺陷跟蹤管理、測(cè)試用例管理）的工具，這些產(chǎn)品主要是MercuryInteractive（MI）、Segue、IBM Rational、 Compuware和Empirix等公司的產(chǎn)品，而MI公司的產(chǎn)品占了主流。白盒測(cè)試工具白盒測(cè)試工具一般是針對(duì)代碼進(jìn)行測(cè)試，測(cè)試中發(fā)現(xiàn)的缺陷可以定位到代碼級(jí)，根據(jù)測(cè)試工具原理的不同，又可以分為靜態(tài)測(cè)試工具和動(dòng)態(tài)測(cè)試工具。靜態(tài)測(cè)試工具：直接對(duì)代碼進(jìn)行分析，不需要運(yùn)行代碼，也不需要對(duì)代碼編譯鏈接，生成可執(zhí)行文件。靜態(tài)測(cè)試工具一般是對(duì)代碼進(jìn)行語法掃描，找出不符合編碼規(guī)范的地方，根據(jù)某種質(zhì)量模型評(píng)價(jià)代碼的質(zhì)量，生成系統(tǒng)的調(diào)用關(guān)系圖等。靜態(tài)測(cè)試工具的代表有：Telelogic公司的Logiscope軟件；PR公司的PRQA軟件。動(dòng)態(tài)測(cè)試工具：動(dòng)態(tài)測(cè)試工具與靜態(tài)測(cè)試工具不同，動(dòng)態(tài)測(cè)試工具的一般采用"插樁"的方式，向代碼生成的可執(zhí)行文件中插入一些監(jiān)測(cè)代碼，用來統(tǒng)計(jì)程序運(yùn)行時(shí)的數(shù)據(jù)。其與靜態(tài)測(cè)試工具最大的不同就是動(dòng)態(tài)測(cè)試工具要求被測(cè)系統(tǒng)實(shí)際運(yùn)行。動(dòng)態(tài)測(cè)試工具的代表有：Compuware公司的DevPartner軟件；Rational公司的Purify系列等。黑盒測(cè)試工具黑盒測(cè)試工具適用于黑盒測(cè)試的場(chǎng)合，黑盒測(cè)試工具包括功能測(cè)試工具和性能測(cè)試工具。黑盒測(cè)試工具的一般原理是利用腳本的錄制(Record)/回放(Playback)，模擬用戶的操作，然后將被測(cè)系統(tǒng)的輸出記錄下來同預(yù)先給定的標(biāo)準(zhǔn)結(jié)果比較。黑盒測(cè)試工具可以大大減輕黑盒測(cè)試的工作量，在迭代開發(fā)的過程中，能夠很好地進(jìn)行回歸測(cè)試。黑盒測(cè)試工具的代表有：Rational公司的TeamTest、Robot；Compuware公司的QACenter。性能測(cè)試工具專用于性能測(cè)試的工具包括有：Radview公司的WebLoad；Microsoft公司的 WebStress等工具；針對(duì)數(shù)據(jù)庫測(cè)試的TestBytes；對(duì)應(yīng)用性能進(jìn)行優(yōu)化的EcoScope等工具。MercuryInteractive的LoadRunner是一種適用于各種體系架構(gòu)的自動(dòng)負(fù)載測(cè)試工具，它能預(yù)測(cè)系統(tǒng)行為并優(yōu)化系統(tǒng)性能。LoadRunner的測(cè)試對(duì)象是整個(gè)企業(yè)的系統(tǒng)，它通過模擬實(shí)際用戶的操作行為和實(shí)行實(shí)時(shí)性能監(jiān)測(cè)，來幫助您更快的查找和發(fā)現(xiàn)問題。測(cè)試管理工具測(cè)試管理工具用于對(duì)測(cè)試進(jìn)行管理。一般而言，測(cè)試管理工具對(duì)測(cè)試計(jì)劃、測(cè)試用例、測(cè)試實(shí)施進(jìn)行管理，并且，測(cè)試管理工具還包括對(duì)缺陷的跟蹤管理。測(cè)試管理工具的代表有：Rational公司的Test Manager；Compureware公司的TrackRecord；Mercury Interactive公司的TestDirector等軟件。滿意的話請(qǐng)采納！

五類軟件測(cè)試工具？

1.負(fù)載壓力測(cè)試工具

這類測(cè)試工具的主要目的是度量應(yīng)用系統(tǒng)的可擴(kuò)展性和性能，是一種預(yù)測(cè)系統(tǒng)行為和性能的自動(dòng)化測(cè)試工具。在實(shí)施并發(fā)負(fù)載過程中，通過實(shí)時(shí)性能監(jiān)測(cè)來確認(rèn)和查找問題，并針對(duì)所發(fā)現(xiàn)問題對(duì)系統(tǒng)性能進(jìn)行優(yōu)化，確保應(yīng)用的成功部署。負(fù)載壓力測(cè)試工具能夠?qū)φ麄€(gè)企業(yè)架構(gòu)進(jìn)行測(cè)試，通過這些測(cè)試，企業(yè)能最大限度地縮短測(cè)試時(shí)間，優(yōu)化性能和加速應(yīng)用系統(tǒng)的發(fā)布周期。

2.功能測(cè)試工具

通過自動(dòng)錄制、檢測(cè)和回放用戶的應(yīng)用操作，將被測(cè)系統(tǒng)的輸出記錄同預(yù)先給定的標(biāo)準(zhǔn)結(jié)果比較，功能測(cè)試工具能夠有效地幫助測(cè)試人員對(duì)復(fù)雜的企業(yè)級(jí)應(yīng)用的不同發(fā)布版本的功能進(jìn)行測(cè)試，提高測(cè)試人員的工作效率和質(zhì)量。其主要目的是檢測(cè)應(yīng)用程序是否能夠達(dá)到預(yù)期的功能并正常運(yùn)行。

3.白盒測(cè)試工具

白盒測(cè)試工具一般是針對(duì)代碼進(jìn)行測(cè)試，測(cè)試中發(fā)現(xiàn)的缺陷可以定位到代碼級(jí)。根據(jù)測(cè)試工具原理的不同，又可以分為靜態(tài)測(cè)試工具和動(dòng)態(tài)測(cè)試工具。靜態(tài)測(cè)試工具直接對(duì)代碼進(jìn)行分析，不需要運(yùn)行代碼，也不需要對(duì)代碼編譯鏈接和生成可執(zhí)行文件。靜態(tài)測(cè)試工具一般是對(duì)代碼進(jìn)行語法掃描，找出不符合編碼規(guī)范的地方，根據(jù)某種質(zhì)量模型評(píng)價(jià)代碼的質(zhì)量，生成系統(tǒng)的調(diào)用關(guān)系圖等。動(dòng)態(tài)測(cè)試工具一般采用“插樁”的方式，在代碼生成的可執(zhí)行文件中插入一些監(jiān)測(cè)代碼，用來統(tǒng)計(jì)程序運(yùn)行時(shí)的數(shù)據(jù)。它與靜態(tài)測(cè)試工具最大的不同是，動(dòng)態(tài)測(cè)試工具要求被測(cè)系統(tǒng)實(shí)際運(yùn)行。

4.測(cè)試管理工具

一般而言，測(cè)試管理工具對(duì)測(cè)試需求、測(cè)試計(jì)劃、測(cè)試用例、測(cè)試實(shí)施進(jìn)行管理，并且測(cè)試管理工具還包括對(duì)缺陷的跟蹤管理。測(cè)試管理工具能讓測(cè)試人員、開發(fā)人員或其他的IT人員。南邵電腦培訓(xùn)認(rèn)為通過一個(gè)中央數(shù)據(jù)倉庫，在不同地方就能交互信息。

5.測(cè)試輔助工具

這些工具本身并不執(zhí)行測(cè)試，例如它們可以生成測(cè)試數(shù)據(jù)，為測(cè)試提供數(shù)據(jù)準(zhǔn)備。

關(guān)于什么是源代碼安全測(cè)試工具的介紹就到這里，以上就是小編整理的什么是源代碼安全測(cè)試工具全部內(nèi)容了，歡迎大家留言討論。訪問培訓(xùn)啦了解更多相關(guān)內(nèi)容