查阅资料,对比DevSecOps的安全工具。
迪丽瓦拉
2025-05-30 09:32:17
0次
介绍
DevSecOPS 的工具由很多但是主要的工具就几种,开发人员按照工具在实际中应用,将其分为了以下几类:
- 静态应用程序安全测试 (STAT) 这类工具主要用户在代码编写阶段检测代码中存在的问题,主要工具为: SonarQube Checkmarx 等等
- 动态应用程序安全测试 (DAST) 这类工具实在网站运行时进行的攻击,以发现网站的漏洞,常见的工具由: Burp OWASP ZAP
- 交互式应用程序安全测试 (IAST) : 这类工具是结合了上述两种工具的优势,通过在运行时分析代码和数据流,可以帮助我们提供更加优质的结果,并且也具有更好的代表性,常见的工具有: Acunetix
- 容器安全: 这类工具帮助我们管理容器中的环境,包括镜像扫描 运行时保护 网络隔离 例如: Docker Bench for Security
- 安全编排自动化和响应 (SOAR) : 这类工具可以帮助我们进行一些自动化进程并且可以帮助我们协调安全任务和事件,进而帮助我们提高团队的效率和响应能力,这类工具由 Demisto 等等
STAT 和 DAST 区别
- STAT 是在编码阶段进行分析代码,DAST 时在代码运行时模拟攻击,并检测服务器对于攻击的请求和响应
- STAT 是白盒测试, DAST 是黑盒测试
- SAST 不能发现运行时错误 而 DAST 可以
- SATS 可以集成在项目开发流程中,在项目上线前修复漏洞,而 DAST 通常实在项目上线后检测,并且 DAST 可能会影响系统性能和稳定性
STAT 和 SOAR 区别 - STAT 侧重于对潜在威胁的分析,而 SOAR 侧重于威胁事件的处理和解决