2019年頂級應用安全工具
威瑞森《2018資料洩露調查報告》稱, 大多數黑客攻擊仍是通過Web應用發起 。基於此,應用測試和防護就成為了很多公司企業的首要任務。如果會利用一些精選應用安全工具,這項工作還可以完成得更輕鬆些。下面便為大家列出2019最佳應用安全工具,並附上各自的最有效使用場景。
本列表資訊來源包括:
-
IT中央站(ITCS)安全應用測試工具列表(2018年9月),該列表基於ITCS龐大的IT專業社群個人使用體驗評分得出。
-
Gartner《應用防護市場指南》(2017年6月)。
-
Gartner《應用安全測試魔力象限》(2018年3月)。
-
持續更新的SecTools網路安全工具125強。雖然是針對網路的安全工具,但其中一些對應用測試也很有效。
本應用安全工具列表中既包含商業產品也包含免費工具。沒附上報價的商業產品往往與該供應商其他產品捆綁銷售,如果量大或訂閱時間長會有折扣。一些免費工具,比如 Burp Suite,也有提供更多功能的付費版。
按字母順序表排列的最佳應用安全工具奉上:
1. Arxan Application Protection
該工具可用於執行時應用自保護(RASP)。Arxan Application Protection 可抵禦逆向工程和程式碼篡改,尤其適用於手機應用。
2. 新思科技出品的黑鴨子( Black Duck )
黑鴨子軟體可在應用開發過程中自動化開源安全及許可合規,可用於檢測、監視、緩解和管理整個開源應用資產組合。新思科技一直在併購其他應用安全供應商,比如Coverity和Codenomicon。
Gartner魔力象限領頭羊
-
目標使用者:開源專案開發者
-
應用聚焦:開源應用測試
-
封裝:軟體即服務(SaaS)
-
定價:現場演示版,請聯絡供應商
3. PortSwigger出品的 Burp Suite
Burp Suite 是多年來不斷擴充套件和增強的流行滲透測試工具集之一。其所有工具的HTTP訊息、駐留、身份驗證、代理、日誌和報警處理與顯示都共享同一個框架。付費版包含更多手動及自動化測試工具,並與Jenkins之類其他框架進行了整合,且有文件完備的 REST API。
ITCS排名第七
-
目標使用者:高階開發人員
-
應用聚焦:Web應用滲透測試與漏洞掃描器
-
封裝:Mac、Windows、Linux、JAR
-
定價:各版本定價不同,有免費版和最高4,000美元/年的付費版,帶60天免費試用期
4. CA/Veracode應用安全平臺
Veracode提供一系列安全測試與威脅緩解技術,全部託管在中心平臺上,開發和生產情況下都可以用來查詢漏洞和評估風險。該產品已推出多年,有廣泛的使用者基礎,數10萬不同應用都曾用它進行測試和評估。Veracode的最小安裝和完全安裝都非常好用,廣受使用者好評。
ITCS排名第一,Gartner魔力象限領跑者
-
目標使用者:開發人員
-
應用聚焦:靜態及動態程式碼掃描
-
封裝:SaaS
-
定價:聯絡供應商
5. Checkmarx
Checkmarx提供一系列的應用測試工具,包括靜態及動態程式碼掃描工具和用於分析開源內容的工具。這些工具支援一系列程式語言,應用廣泛,可以持續監視應用程式以檢測漏洞。該公司收購了Codebashing,並將之整合進自己的軟體,擴充套件其安全編碼培訓功能。
ITCS排名第二,Gartner魔力象限領先者
-
目標使用者:開發人員
-
應用聚焦:靜態及動態程式碼掃描,安全編碼培訓
-
封裝:SaaS和現場
-
定價:聯絡供應商,免費演示版
6. MicroFocus出品的Fortify
Fortify整合開發與測試工具有SaaS、現場版和移動版,可提供持續應用監視。儘管企業監管者很多,但從惠普軟體組歸入MicroFocus的Fortify工具歷史悠久,安裝應用廣泛。Fortify還可以整合進 Eclipse IDE 和 Visual Studio 中。
ITCS排名第三,Gartner魔力象限領先者
-
目標使用者:開發人員
-
應用聚焦:靜態及移動程式碼掃描
-
封裝:SaaS和現場版
-
定價:15天免費試用,聯絡供應商
7. IBM Security AppScan
IBM的應用安全軟體很多,其中就有 Security AppScan。共有3個版本:原始碼版、標準版和企業版。該軟體最為著名的一點就是可以匯入來自人工程式碼審查、滲透測試乃至競爭對手軟體漏洞掃描器的多種資料格式,還有移動版可以掃描iOS和安卓應用。
ITCS排名第四,Gartner魔力象限領跑者
-
目標使用者:大企業
-
應用聚焦:應用程式碼掃描,包括移動、靜態和動態方法。
-
封裝:SaaS和現場
-
定價:30天免費試用,聯絡供應商
8. Rogue Wave 出品的Klocwork
Klocwork提供的功能包括靜態應用掃描、持續程式碼整合和程式碼架構視覺化工具,還內建有CERT、CWE和OWASP等各種安全標準的檢查工具。Klocwork可標記程式碼注入、跨站指令碼、記憶體洩漏和其他脆弱編碼操作。
ITCS排名第九
-
目標使用者:開發人員
-
應用聚焦:靜態程式碼分析器
-
封裝:SaaS
-
定價:免費試用
9. Qualys Web App Scanning
Qualys是應用防護市場的老牌玩家,Qualys Web App Scanning 可查詢並分類企業中所有Web應用,執行動態掃描,報告惡意軟體感染,並提供修復程式碼的方法。該產品是名為 Cloud Apps 的完整產品組合中的一部分。Cloud Apps 每年執行數十億次掃描,還包含有基礎設施和終端安全工具,並支援其他Web應用防火牆。這些服務都有免費的刪減版,還有各種可用於SSL網站、證書和瀏覽器配置的免費檢查工具。
ITCS排名第八
-
目標使用者:Web應用開發人員
-
應用聚焦:動態應用掃描
-
封裝:SaaS
-
定價:免費版和30天免費試用版,各種訂閱和使用費
10. Imperva出品的Prevoty
Prevoty是又一款用於執行時應用自保護(RASP)的工具,可抵禦逆向工程和程式碼篡改,尤其適用於手機應用。
-
目標使用者:開發人員
-
應用聚焦:RASP
-
封裝:SaaS
-
定價:聯絡供應商
11. Selenium
Selenium有用於自動化測試Web應用及其在各瀏覽器中表現的一整套工具,配合其自身Selenium指令碼整合開發環境使用。這套工具以瀏覽器擴充套件的形式實現,可供錄製、編輯和除錯測試,還可以錄製和重放其指令碼。Selenium還為檢測手機及Web瀏覽器安全問題的各種外掛提供廣泛的第三方支援。
12. OWASP建立的WebGoat
WebGoat是開放Web應用安全計劃(OWASP)建立的特設不安全Web應用。OWASP維護著事實上的關鍵Web漏洞列表。WebGoat就是個教學工具,向用戶展示常見漏洞利用的效果和在應用中規避漏洞的必要性。WebGoat提供大量編碼樣例和其他小技巧,面世15年來已出到第八版。
-
目標使用者:開發人員
-
應用聚焦:程式碼注入、跨站指令碼和不安全憑證等問題的測試
-
封裝:JAR檔案
-
定價:免費
13. OWASP建立的 Zed Attack 代理
Zed Attack 同樣來自OWASP,是開源社群的工作成果,用於在Web應用開發階段自動化查詢安全漏洞。Zed Attack 處於使用者App和瀏覽器之間,攔截Web流量並檢查其中有無漏洞。
ITCS排名第六
威瑞森《2018資料洩露調查報告》:
https://enterprise.verizon.com/resources/reports/dbir/
宣告:本文來自安全牛,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。