Opensource DevSecOps tools для DevOps
Наведені нижче інструменти з відкритим кодом орієнтовані на DevSecOps і можуть бути інтегровані у ваші процедури CI/CD. А що радите ви?
Snyk — це developer-first cloud-native інструмент безпеки, який сканує та відстежує ваші проєкти на наявність уразливостей.
OSV від Google — osv.dev — це база даних уразливостей для проєктів з відкритим кодом.
Binskim від Microsoft — це легкий Portable Executable (PE) сканер, який перевіряє параметри компілятора/лінкера та інші бінарні характеристики, пов’язані з безпекою.
Tfsec від Aquasecurity — використовує статичний аналіз вашого коду terraform для виявлення потенційних неправильних конфігурацій.
Trivy від Aquasecurity — комплексний і універсальний сканер безпеки.
KubeLinter аналізує файли Kubernetes YAML і Helm charts і перевіряє їх на відповідність різноманітним кращим практикам, зосереджуючись на готовності до продакшна та безпеці.
Checkov — це інструмент статичного аналізу коду для інфраструктури як коду (IaC), а також інструмент аналізу складу програмного забезпечення (SCA) для зображень і пакетів з відкритим кодом.
ggshield від Gitguardin — це програма CLI, яка працює у вашому локальному середовищі або в середовищі CI, щоб допомогти вам виявити понад 350 типів секретів, а також інші потенційні вразливості безпеки або порушення політики, що впливають на вашу кодову базу.
21 коментар
Додати коментар Підписатись на коментаріВідписатись від коментарів