安全工程师必读 ——《安全技术工具扫盲》

news2024/12/23 23:11:09

安全技术

  1. SAST - 静态应用安全测试(白盒检测)
  2. DAST - 动态应用安全测试(黑盒检测)
  3. IAST - 交互式应用安全测试(灰盒检测)
  4. RASP - 运行时应用自我保护
  5. Dependency Scanning(依赖项安全扫描)
  6. Secrets Detection(机密信息检测)

八款免费开发安全测试工具icon-default.png?t=N3I4https://mp.weixin.qq.com/s/rB52cfWsdBq57z1eaftQaQ

SDL/DevSecOps

SDL 全称 Security Development Lifecycle,即安全开发生命周期,是由微软提出并应用的一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程

DevSecOps,全称 Development Security Operations,是一套有 Gartner 提出的基于 DevOps 体系的全新IT安全实践战略框架,是一种旨在将安全性嵌入 DevOps 链条中的每个部分新方法,它有助于在开发过程早期而不是产品发布后识别安全问题,目标是让每个人对信息安全负责,而不仅仅是安全部门。

相比于 SDL,DevSecOps 已不只是关注开发阶段的安全,而是需要将安全嵌入到开发和运维的整个DevOps的生命周期中

SDL 是一种模型,DevSecOps是一种具体的方法,两者相辅相成,一起进步,而不是对立的;SDL 本身也在演进中,并已经涵盖了 DevSecOps 方法;解决安全运维一体化的并非只有 DevSecOps 一种选择,S-SDLC 也行;DevSecOps 与传统瀑布模式的 S-SDLC 方法相比,也没有优劣之说,只是解决问题场景不同,DevSecOps 也不能替代瀑布式 S-SDLC。

安全工具

入侵检测

  • Snort

Snort(NIDS)是一个免费的、开源的网络入侵防御和检测系统。它使用基于规则的语言,执行协议分析、内容搜索/匹配,并可用于检测各种攻击和探测,如缓冲区溢出、隐形端口扫描、CGI 攻击、SMB 探测、操作系统指纹识别尝试等

  • Suricata

Suricata(NIDS)是一款免费开源的网络威胁检测工具。主要用于实时入侵检测(IDS),嵌入式入侵防御(IPS)和网络安全监控(NSM)等

Suricata 是一款高性能网络入侵检测防御引擎。该引擎基于多线程,充分利用多核优势。它支持多种协议,如:ip4、ipv6、tcp、udp、http、smtp、pop3、imap、ftp 等。可动态加载预设规则,支持多种文件格式统计数据输出,如 pcap、json、unified2 等,非常便于与 Barnyard2 等工具集成

  • OSSEC

OSSEC(HIDS)是一个免费的,开源的基于主机的入侵检测系统。它执行日志分析,完整性检查,Windows注册表监视,Rootkit检测,基于时间的警报和主动响应。它为大多数操作系统提供入侵检测,包括Linux,OpenBSD,FreeBSD,OS X,Solaris和Windows

  • ELSE

OpenRASP

RASP 英文为 Runtime application self-protection,即运行时应用程序自我保护。“运行时应用程序自我保护”的概念由 Gartner 在 2014 年提出,含义是:对应用服务的保护不应该依赖于外部系统,应用应该具备自我保护的能力。这意味着,RASP 在程序执行期间运行,使程序能够自我监控并识别有害的输入和行为。OpenRASP 是该技术的开源实现,它改变了***依赖请求特征来拦截攻击的模式

CodeQL

开源项目

态势感知或安全运营中心 OSSIM

入侵防御技术,Snort 或 Security Onion

***技术,pfSense 或 OPNsense

Web应用***(WAF ),ModSecurity

威胁情报技术,MISP 或 OpenCTI

漏洞扫描技术,OpenVAS 或 W3AF

堡垒机技术,JumpServer

蜜罐技术,T-Pot 或 Hfish

相对应的工具安装包等都准备好了,朋友们如果需要可以微信扫描下方CSDN官方认证二维码或者点击下方链接免费领取【保证100%免费】全部无偿,感谢大家的阅读与支持!

CSDN大礼包:《黑客&网络安全入门&进阶工具包》免费领取icon-default.png?t=N3I4https://mp.weixin.qq.com/s/rB52cfWsdBq57z1eaftQaQ

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/518386.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

袋鼠云产品功能更新报告05期|应有尽“优”,数栈一大波功能优化升级!

这段时间,我们对产品本身以及客户反馈的一些问题进行了持续的更新和优化,包括对离线平台数据同步功能的更新,数据资产平台血缘问题的优化等,力求满足不同行业用户的更多需求,为用户带来极致的产品使用体验。 以下为袋…

边缘计算节点是啥?边缘计算与CDN有什么关系?一文带你了解边缘计算节点BEC(2)

上文已经为大家详细介绍了边缘计算节点 BEC 与 CDN 之间的关系,对于 CDN 而言,边缘计算不仅仅只增加了存储、计算的功能,还有网络、安全等等一系列的基础能力。 如果大家感兴趣,欢迎阅读我们上一篇文章 边缘计算节点是啥&#x…

如何在pythonanywhere上部署Django项目?

PythonAnywhere是一个基于云的Python开发平台,它允许用户在云端运行、开发和部署,该平台提供了Python编程环境、Web框架、数据库和Web服务器等工具,让用户可以轻松地创建和部署Python应用程序。PythonAnywhere还提供了免费和付费的服务&#…

Java设计模式其一(概述、UML图、软件设计模式) | 穷其道者,归处亦同

文章目录 1. 设计模式概述1.1 软件设计模式的概念1.2 学习设计模式的必要性1.3 设计模式分类 2. UML图2.1 类图概述2.2 类图的作用2.3 类图的表示法2.3.1 类的表达方式2.3.2 类与类之间关系的表达方式 3. 软件设计原则3.1 开闭原则3.2 里氏替换原则3.3 依赖倒转原则3.4 接口隔离…

Java【多线程基础6】定时器的使用方式 + 模拟实现Timer

文章目录 前言一、定时器1, 什么是定时器2, 如何使用定时器 二、模拟实现定时器1, 初步实现2, 问题改善 总结 前言 📕各位读者好, 我是小陈, 这是我的个人主页 📗小陈还在持续努力学习编程, 努力通过博客输出所学知识 📘如果本篇对你有帮助, …

6.文本三剑客--sed、awk

文章目录 文本三剑客sed介绍命令介绍打印内容删除替换插入分组 文本三剑客 sed 介绍 sed编辑器 sed是一种流编辑器,流编辑器会在编辑器处理数据之前基于预先提供的一组规则来 编辑数据流。 sed编辑器可以根据命令来处理数据流中的数据,这些命令要么…

高阶python | 堆栈列表:RPN应用(模拟逆波兰式功能实现)

python版本:3.10 在列表中,append和pop方法有一个特殊的用途。可以在列表上使用这两个方法让列表变成一个堆栈使用。 这就是一个栈,它是先进后出,类似单门轿厢电梯一样的设计,出入口共用 堆栈最有用的应用之一就是做逆…

【社区团购】预制菜零售如何打造精准社群?

预制菜作为现代生活的新型“网红”食品,其受欢迎程度日益提高。而在商业竞争日益激烈的当下,如何让你的预制菜零售业务(文章编辑ycy6221)具有巨大的竞争优势呢?社区团购是一个不错的切入点,这不仅是为了扩大…

5月12号软件资讯更新合集.....

Vue 3.3 “浪客剑心” 发布 Vue 3.3 已正式发布&#xff0c;代号 "Rurouni Kenshin"&#xff08;浪客剑心&#xff09;。 公告写道&#xff0c;此版本专注于改进开发者使用体验 —— 特别是 SFC<script setup> 与 TypeScript 的结合使用。一同发布的还有 Vue…

【C语言】操作符详解(上)

操作符详解&#xff08;上&#xff09; 1.操作符分类2.算数操作符3.移位操作符3.1 右移3.2 左移 4.位操作符4.1位操作符发的应用 5.赋值操作符6.单目操作符7.关系操作符8.逻辑操作符 1.操作符分类 算术操作符移位操作符位操作符赋值操作符单目操作符关系操作符逻辑操作符条件操…

Vue3-黑马(四)

目录&#xff1a; &#xff08;1&#xff09;vue3-基础-axios-获取数据 &#xff08;2&#xff09;vue3-基础-axios-发送数据 &#xff08;3&#xff09;vue3-基础-axios-baseURL &#xff08;1&#xff09;vue3-基础-axios-获取数据 第三方库axios是对xhr的封装&#xff0…

智安网络|网络安全威胁风险分析:识别以及预防黑客和钓鱼攻击

随着网络技术的不断发展和普及&#xff0c;网络安全问题日益严峻。黑客、病毒、恶意软件、钓鱼攻击等威胁不断涌现&#xff0c;给个人、企业、国家的信息安全带来了极大的威胁。如何识别、分析和预防网络安全威胁已成为所有人必须要解决的问题。本篇文章将从黑客攻击和钓鱼攻击…

proc文件系统

proc介绍 (1)proc是虚拟文件系统&#xff0c;虚拟的意思就是proc文件系统里的文件不对应硬盘上任何文件&#xff0c;我们用去查看proc目录下的文件大小都是零,是接受到请求才动态生成的&#xff1b; (2)proc文件系统是开放给上层了解内核运行状态的窗口&#xff0c;通过读取pro…

如何通过品牌矩阵号赋能品牌?

小红书作为年轻人的“消费决策”平台、逐步成为越来越多用户的消费指南&#xff0c;同时也变成众多品牌的营销基地。在小红书运营矩阵账号可以很好的树立品牌形象、增加粉丝粘性、节约广告成本&#xff0c;那么在搭建矩阵的过程中如何管理品牌矩阵号也成为众多品牌必须要思考的…

3.操作系统

文章目录 1.操作系统概述&#xff08;1&#xff09;当前操作系统的主要类型&#xff08;2&#xff09;操作系统的特点&#xff08;3&#xff09;五种主要的功能&#xff08;4&#xff09;考点分布 2.进程&#xff08;1&#xff09;进程的状态&#xff08;2&#xff09;进程的定…

jeecg低代码主从表打印

1.在在线开发菜单栏中选择online表单开发&#xff0c;新建两张表&#xff0c;分别为主表和附表。 2.首页进入报表设计——积木报表设计。 3.进入报表管理——打印设计&#xff0c;选择一个模板或者新建都可以。 4.进入设计页面&#xff0c;点击数据集管理右边的添加数据表&a…

高通开发系列 - 驱动模块Oops后如何找到出错位置

By: fulinux E-mail: fulinux@sina.com Blog: https://blog.csdn.net/fulinus 喜欢的盆友欢迎点赞和订阅! 你的喜欢就是我写作的动力! 目录 问题概述问题现象出错定位问题概述 加载驱动模块时发生:Kernel panic - not syncing: Fatal exception 那么如何找到驱动模块出错的…

抖音AI绘画变成真人软件

抖音AI绘画成人软件的发展可能包括以下几个方面&#xff1a; 算法优化&#xff1a;随着深度学习算法的不断发展&#xff0c;未来该技术可能会通过改进模型架构、优化训练方式等手段&#xff0c;提高生成图像的质量和自然度。 多样化的绘画风格&#xff1a;为了满足用户…

【软考备战·希赛网每日一练】2023年5月12日

文章目录 一、今日成绩二、错题总结第一题第二题第三题第四题 三、知识查缺 题目及解析来源&#xff1a;2023年05月12日软件设计师每日一练 一、今日成绩 二、错题总结 第一题 解析&#xff1a; 一般情况下&#xff0c;一旦Web服务器向浏览器发送了请求数据&#xff0c;它就要…

2021 第十二届蓝桥杯大赛软件赛决赛, 国赛,C/C++ 大学B组题解

2021 第十二届蓝桥杯大赛软件赛决赛, 国赛&#xff0c;C/C 大学B组题解 文章目录 第1题 —— 带宽 &#xff08;5分&#xff09;第2题 —— 纯质数 &#xff08;5分&#xff09;第3题 —— 完全日期 &#xff08;10分&#xff09;第4题 —— 最小权值 &#xff08;10分&#xf…