Trivy是壹個開源漏洞掃描程序,能夠檢測開源軟件中的CVE。這款工具針對風險提供了及時的解釋,開發人員可自行決定是否在容器或應用程序中使用該組件。常規的容器安全協議使用的是靜態鏡像掃描來發現漏洞,Trivy則是將漏洞掃描工具無縫合並到集成開發環境當中。
2、OpenVAS
OpenVAS是壹款功能全面的免費開源漏洞掃描器和管理系統。它得到了GNU通用公開許可證授權許可,支持包括多個Linux發行版在內的不同操作系統。OpenVAS利用了可自動更新的社區來源的漏洞數據庫,涵蓋5萬多個已知網絡漏洞測試。
3、Clair
Clair是基於API的漏洞掃描程序,可對開源容器層的任何已知安全漏洞進行檢測,更加便於創建持續監控容器並查找安全漏洞的服務。Clair能定期從各個來源收集漏洞元數據,對容器鏡像索引,並提供用於檢索鏡像發現的特征的API。漏洞元數據壹旦更新,用戶就會收到提醒,這樣就能從之前掃描的鏡像中及時發現新的漏洞。另外,Clair還提供了可用於查詢特定容器鏡像漏洞的API。
4、Anchore
Anchore是壹款開源Docker容器策略合規與靜態分析的工具。激活之後,Anchore會自動執行容器內容的鏡像掃描、分析及評估。最終結果會針對每個鏡像進行策略評估,並判定是否符合業務要求。Anchore主要是通過分析容器鏡像的內容,發現隱藏的漏洞。
5、Sqlmap
Sqlmap屬於滲透測試工具,但具有自動檢測和評估漏洞的功能。該工具不只是簡單地發現安全漏洞及利用漏洞的情況,它還針對發現結果創建了詳細的報告。Sqlmap利用Python進行開發,支持任何安裝了Python解釋器的操作系統。它能自動識別密碼哈希,並使用六種不同方法來利用SQL註入漏洞。
6、Nmap
Nmap是壹款開源網絡掃描工具,應用場景包括端口掃描、服務指紋識別以及操作系統版本識別。Nmap通常被視為網絡映射及端口掃描工具,但因為其帶有Nmap腳本引擎,也有助於對錯誤配置問題和安全漏洞進行檢測。
7、Burp Sutie
Burp
Suite免費版是開源的Web應用程序漏洞掃描器,該版本屬於軟件工具包,涵蓋了對Web應用程序手動安全測試所需的所有東西。它可以使用攔截代理,針對瀏覽器和目標應用程序之間的流量進行檢查與修改;還能利用可感知應用程序的Spider抓取應用程序的內容及功能;此外,使用中繼器工具能夠處理並重新發送單個請求,也可訪問針對分析及解碼應用程序數據的壹系列實用程序。