敏捷开发方法与DevOps操作帮助企业达成持续开发的目标

将安全融入开发过程，更早捕获并修补应用漏洞，你须要这五类共28款DevSecOps工具。

DevSecOps是将安全集成到整个应用开发周期的过程redhat有线网络 提示设备未托管，是从内到外加强应用，使其能否抵挡各类潜在恐吓的理想形式。由于好多公司企业不断开发应用以满足顾客和商业合作伙伴的需求，DevSecOps的吸引力也与日俱增。

敏捷开发方式与DevOps操作帮助公司企业达成持续开发的目标。云原生应用构架也成为了DevSecOps运动的有力贡献者，引领采用公共云提供商、容器技术和容器平台为应用提供估算能力。DevSecOps将安全过程与工具集成进工作流并加以手动化，甩掉了传统方式按时间点进行的潜在干扰，是个无缝且持续的过程。

咨询公司DataBridgeMarketResearch称，鉴于网路安全恐吓数目与害处性的持续上升redhat有线网络 提示设备未托管，全球DevSecOps市场预计将从2018年的14.7亿港元下降至2026年的136.3亿港元。

市场繁荣之下，DevSecOps工具必定呈现百花齐放百家争鸣的局面。下边就按核心门类为您呈上多款优秀DevSecOps工具。

警报：向开发人员通报异常

开发应用的时侯很容易忽视掉安全漏洞。下边的工具为开发人员提供了潜在安全异常及缺陷的警报功能，可供开发人员及时调查并修补这种漏洞，不至于走得太远回不了头。有些工具专用于警报功能，例如开源的Alerta。其他工具则兼顾测试等别的功能，例如ContrastAssess。

1.Alerta

()

该开源工具可将多个来源的信息整合去重，提供快速可视化功能。Alerta与Prometheus、Riemann、Nagios、Cloudwatch及其他监视/管理服务集成，开发人员可通过API按需订制Alerta。

2.ContrastAssess

()

作为一款互动应用安全测试(IAST)工具，ContrastAssess与用户应用集成，在后台持续监视代码，并在发觉安全漏洞时发出警报。据称即使是非安全开发人员也可使用ContrastAssess自行辨识并修补漏洞。

3.ContrastProtect

()

该运行时应用自保护(RASP)工具采用了ContrastAssess同款嵌入式代理。ContrastProtect在生产环境中查找漏洞借助程序和未知恐吓，并将结果递交给安全信息及风波管理(SIEM)控制台、防火墙或其他安全工具。

4.ElastAlert

()

ElastAlert提供近实时接收警报的框架，可接收来自Elasticsearch数据的安全异常、流量剧增及其他模式。ElastAlert查询Elasticsearch并按照一系列规则比较这种数据。一旦出现匹配，ElastAlert便发出警报并随附建议动作。

手动化：发觉并修补缺陷

大多数DevSecOps工具都提供一定程度的手动化。这种工具手动扫描、发现并修补安全缺陷linux查看端口占用，只是手动化程度各有不同，从条件式风波驱动的手动化到运用深度学习技术的手动化都有。

1.CodeAI

()

致力通过深度学习技术手动查找并修补源代码中的安全漏洞，堪称可为开发人员提供可供参考的解决方案列表，而不仅仅是安全问题列表。其供应商QbitLogic声称，已为CodeAI馈送了数百万个现实世界漏洞修补样本供训练。

2.Parasofttoolsuite

()

Parasoft提供包括应用开发安全测试在内的多种手动化工具：

1）ParasoftC/C++test

()

用于开发过程初期缺陷辨识；

2）ParasoftInsure++

()

可以查找不规范编程及显存访问错误；

3）ParasoftJtest

()

用于Java软件开发测试；

4)ParasoftdotTEST

()

以深度静态剖析和中级覆盖作为VisualStudio工具的补充。

3.RedHatAnsibleAutomation

()

该工具包含三个模块——AnsibleTower、AnsibleEngine和RedHatAnsibleNetworkAutomation，可作为无代理IT手动化技术单独或联合使用。虽然不是专门的安全工具，AnsibleAutomation却可供用户定义规则以确定自身软件开发项目中什么部份是安全的。

4.StackStorm

()

该开源工具堪称“可进行条件式营运”，其风波驱动的手动化能在测量到安全漏洞时提供脚本化的修补与响应，并附有持续布署、ChatOps优化等功能。

5.Veracode

()

该公司提供DevSecOps环境中广泛使用的一系列手动化安全工具，包括在代码编撰时即时手动扫描的Greenlight；在沙箱中扫描代码漏洞的DeveloperSandbox；辨识漏洞组件的SoftwareCompositionAnalysis(SCA)；以及辨识应用缺陷的StaticAnalysis。

仪表板：开发过程可见性

专用DevSecOps仪表板工具可使用户在同一图形界面中查看并共享从开发伊始到营运过程中的安全信息。有些DevSecOps应用，例如ThreatModeler和Parasoft已自带仪表板。

1.Grafana

()

该开源剖析平台容许用户创建自定义仪表板，聚合所有相关数据以可视化及查询安全数据。若果不想自行建立，还可以在其网站上选用社区建立的仪表板。

2.Kibana

()

假如你使用Elasticsearch，该开源工具可在统一图形界面中集成成千上万的日志条目，包括营运数据、时间序列剖析、应用监视等等。

恐吓建模：辨识并排序应用风险

恐吓建模DevSecOps工具用以在复杂的功击界面中辨识、预测并定义恐吓，便于用户可以作出主动安全决策。有些工具可按照用户提供的系统及应用信息手动建立恐吓模型，并提供可视化界面以帮助安全及非安全人员探求恐吓及其潜在影响。

1.IriusRisk

()

出自ContinuumSecurity的解决方案，既可云布署，也可现场布署，能以基于问卷的界面手动化风险及需求剖析，并设计出恐吓模型和技术性安全要求。IriusRisk还可帮助用户管理代码重构及安全测试阶段。

2.ThreatModeler

()

该手动化恐吓建模系统有两个版本：AppSec版和云版。在提供了用户应用或系统的功能性信息后，ThreatModeler会基于更新的恐吓情报手动就整个功击界面进行数据剖析和潜在恐吓辨识。

3.OWASPThreatDragon

()

一款基于Web的开源工具，提供系统图解和用于手动化恐吓建模与减轻的规则引擎。ThreatDragon承诺可与其他软件开发生命周期(SDLC)工具无缝集成，且界面便于使用。

测试：在上线前查找安全漏洞

在开发过程中测试应用以找出潜在漏洞是DevSecOps的关键部份，就能事先发觉安全漏洞，防止漏洞被黑客借助。虽然其他工具常常包含了测试功能，例如Parasoft出品的这些，下述工具依然在应用安全测试上表现强劲。

1.BDD-Security

()

该出自ContinuumSecurity的开源框架可使安全人员在敏捷开发过程中测试行为驱动开发(BDD)语言编撰的功能及非功能性安全场景。此BDD框架致力使安全功能独立于应用特定的导航逻辑，让同样的安全要求就能更容易地应用到多个应用程序上。

2.CheckmarxCxSAST

()

可对25种编程及脚本语言进行未编译/未建立源代码扫描的静态应用安全测试(SAST)工具，能在SDLC初期发觉成百上千种安全漏洞。CxSAST兼容所有集成开发环境(IDE)，是Checkmarx软件曝露平台的一部份——该平台可在DevOps所有阶段植入安全。Checkmarx的交互式应用安全测试(IAST)工具可测量运行中应用的安全漏洞。

3.ChefInSpec

()

整个开发过程中的每一阶段都可以运用该开源工具手动化安全测试以确保针对传统服务器及容器和云API的合规、安全及其他新政要求。

4.Fortify

()

MicroFocus出品，提供端到端应用安全，可供进行覆盖整个软件开发生命周期的现场及按需测试。FortifyonDemand是MicroFocus的应用安全即服务产品linux cp，提供静态、动态和联通应用安全测试，以及生产环境中Web应用的持续监视。

5.Gauntlt

()

流行测试框架，借以促进易操作的安全测试及安全、开发和营运团队间的沟通。GauntIt以便形成功击测试用例，且能便捷地钩入现有工具及进程。

6.Synopsyssuite

()

Synopsys提供多个应用安全测试工具，包括：

1）SAST工具Coverity

()

手动化测试且融入持续集成/持续交付(CI/CD)管线；

2）SCA工具BlackDuck

()

采用容器及应用中的开源和第三方代码检查并管理安全；

3）SeekerIAST

()

辨识可曝露敏感数据的运行时安全漏洞；

以及一系列用于应用安全测试的托管服务。

其他值得考虑的DevSecOps工具

以下DevSecOps工具同样富含上述工具提供的功能，但或多或少略有不同。

1.AquaSecurity

()

在整个CI/CD管线和运行时环境中管理端到端安全，可用于所有平台和云环境的容器及云原生应用。

2.Dome9Arc

()

被CheckPoint竞购，提供手动化测试及安全施行，使开发人员才能将安全及合规融入公共云应用的建立、部署及营运。

3.GitLab

()

该工具可将DevSecOps构架融入CI/CD过程，在递交时测试每一块代码，使开发人员才能在编程期间减轻安全漏洞，并提供囊括所有漏洞的仪表板。

4.RedHatOpenShift

()

为基于容器的应用提供外置安全，例如基于角色的访问控制、以安全提高的Linux(SELinux)实现隔离，以及贯串整个容器建立过程的核查。

5.RedLock

()(前身为Evident.io)

PaloAltoNetworks出品，适用于布署阶段，帮助开发人员快速发觉并减轻资源配置、网络构架及用户活动中的安全恐吓，尤其是在亚马逊S3储存桶和弹性块储存(EBS)卷上。

6.SDElements

()

出品自SecurityCompass的手动化平台，致力搜集顾客软件信息，发觉恐吓及对策，突出相关安全控制举措以帮助公司企业实现其安全和合规目标。

7.WhiteHatSentinel应用安全平台

()

该解决方案提供贯串整个SDLC的应用安全，适用于需将安全集成进工具中的敏捷开发团队，以及需持续测试以保证生产环境应用安全的安全团队。

8.WhiteSource

()

用于解决开源漏洞，可集成进用户的生成过程，无论用户采用哪些编程语言、生成工具或开发环境。WhiteSource使用时常更新的开源代码数据库持续检测开源组件的安全及授权。