知名的 OWASP 開源組織每隔幾年就會推出 OWASP Top 10 Web 安全性風險報告,這個專案使用 Node.js 為主,教你如何用現代化與複雜的 Web 開發技術,寫出「不安全」的程式碼。Juice Shop 包含了整個 OWASP 十大漏洞以及在真實世界應用程式中發現的許多其他安全漏洞!Juice Shop 可以用於安全培訓、意識(awareness)展示、 CTFs,也可以作為安全工具的試驗品!
https://softnshare.com/owasp/
「owasp工具」的推薦目錄:
- 關於owasp工具 在 軟體開發學習資訊分享 Facebook 的精選貼文
- 關於owasp工具 在 矽谷牛的耕田筆記 Facebook 的最讚貼文
- 關於owasp工具 在 OWASP ZAP - 開源免費的WEB 安全測試工具| Zed Attack Proxy 的評價
- 關於owasp工具 在 一介資男- [資安] 黑白箱測試工具承上篇 - Facebook 的評價
- 關於owasp工具 在 owasp-testing-guide-v4-gitbook/appendix_a_testing_tools.md ... 的評價
- 關於owasp工具 在 owasp top 10中文2023-在Facebook/IG/Youtube上的焦點新聞 ... 的評價
- 關於owasp工具 在 owasp top 10中文2023-在Facebook/IG/Youtube上的焦點新聞 ... 的評價
owasp工具 在 矽谷牛的耕田筆記 Facebook 的最讚貼文
ref: https://medium.com/devopscurry/securing-your-ci-cd-pipelines-with-devsecops-in-2021-1a6a6e34f2e7
本篇文章作者想要探討的是如何透過 DevSecOps 的概念來強化你的 CI/CD 流程。
文章開頭探討了些關於 DevOps 文化以及對團隊帶來的改變,如何將 Dev, Ops 的工作流程給帶入到一個不同的領域,這部分想必大家都熟識了,所以這邊就不敘述太多。
接者作者開始思考,CI/CD 這種自動化的過程中,如果我們想要檢查資安與安全性相關,那到底有什麼樣的資訊市值得我們去檢查與研究的?
假設今天採用的是市面上 SaaS 服務的所提供的 Pipeline 平台,這些平台本身的資安問題並不是使用者可以去處理的,這方面只能仰賴這些服務提供商能夠有效且安全的去防護系統。因此作者認為我們應該要將注意力放在我們自行設計的 pipeline 過程中。
作者接者列舉了幾個議題,譬如
1. Source Code Vulnerabilities
這個議題要檢查的是軟體本身是否有相關的漏洞
2. OSS Library Vulnerabilities
所有使用到的 OSS Library 也都可能有漏洞需要注意,所以平常也要多注意 CVE 相關的資訊,有任何可以修復的機會時,團隊一定要評估是需要升級相關的 OSS
3. OSS Version
OSS 的社群也是會不停的開發與迭代,某些版本可能多年後就不被該社群團隊給維護,所以如果目前使用的 OSS 版本已經被標示為 deprecated,那意味就算有任何漏洞可能都不會有相關維護者去補修。因此團隊也要審慎評估是否要趕緊升級到一個有被維護的版本
4. Identifying Compromising Credentials
CI/CD 系統中不免都會有一些跟機密資訊有關的資料,這些資料是有可能當初處理時沒有被妥善管理,譬如不小心被 commit 到 source code 之類的,這部分的錯誤也都要避免。
檢查方面,作者提出不同的方式來檢查,譬如
1. Static Application System Testing(SAT)
程式編譯前的靜態掃描,該方法會嘗試分析程式碼本身是否有安全性漏洞,也是俗稱的白箱測試。
2. Active and Passive penetration t est (Dynamic Analysis)
3. Infrastructure Analysis
該方法包含了檢查環境中用到的設定檔案,伺服器狀態等,透過這些資訊來了解當前是否有什麼潛在的問題
最後,作者列舉出一些相關的工具,譬如
1. Checkmarx
2. IMMUNIO
3. Aqua Security
4. OWASP Zed Attack Proxy
5. Twistlock
6. CyberArk
7. WhiteSource
8. CHef InSpec
9. Fortify Webinspect
owasp工具 在 一介資男- [資安] 黑白箱測試工具承上篇 - Facebook 的推薦與評價
黑箱工具:[OWASP ZAP](https://www.owasp. org/index.php/OWASP_Zed_Attack_Proxy_Project) 好野人版本大多公家機關或銀行等大型企業採用, ... ... <看更多>
owasp工具 在 owasp-testing-guide-v4-gitbook/appendix_a_testing_tools.md ... 的推薦與評價
附录A: 测试工具. 开源黑盒测试工具. 通用测试工具. OWASP ZAP. Zed攻击代理(ZAP)是一款非常容易使用的整合型渗透测试工具,主要功能是发现web应用漏洞。 ... <看更多>
owasp工具 在 OWASP ZAP - 開源免費的WEB 安全測試工具| Zed Attack Proxy 的推薦與評價
OWASP ZAP - 開源免費的WEB 安全測試 工具 | Zed Attack Proxy | Web Security | 網站滲透測試| OWASP TOP 10. HackerCat. HackerCat. ... <看更多>