威瑞森《2018數(shù)據(jù)泄露調(diào)查報(bào)告》稱，大多數(shù)黑客攻擊仍是通過(guò)Web應(yīng)用發(fā)起?；诖?，應(yīng)用測(cè)試和防護(hù)就成為了很多公司企業(yè)的首要任務(wù)。如果會(huì)利用一些精選應(yīng)用安全工具，這項(xiàng)工作還可以完成得更輕松些。下面便為大家列出2019最佳應(yīng)用安全工具，并附上各自的最有效使用場(chǎng)景。

[[250713]]

本列表信息來(lái)源包括：

• IT中央站(ITCS)安全應(yīng)用測(cè)試工具列表(2018年9月)，該列表基于ITCS龐大的IT專業(yè)社區(qū)個(gè)人使用體驗(yàn)評(píng)分得出。
• Gartner《應(yīng)用防護(hù)市場(chǎng)指南》(2017年6月)。
• Gartner《應(yīng)用安全測(cè)試魔力象限》(2018年3月)。
• 持續(xù)更新的SecTools網(wǎng)絡(luò)安全工具125強(qiáng)。雖然是針對(duì)網(wǎng)絡(luò)的安全工具，但其中一些對(duì)應(yīng)用測(cè)試也很有效。

本應(yīng)用安全工具列表中既包含商業(yè)產(chǎn)品也包含免費(fèi)工具。沒(méi)附上報(bào)價(jià)的商業(yè)產(chǎn)品往往與該供應(yīng)商其他產(chǎn)品捆綁銷售，如果量大或訂閱時(shí)間長(zhǎng)會(huì)有折扣。一些免費(fèi)工具，比如 Burp Suite，也有提供更多功能的付費(fèi)版。

按字母順序表排列的最佳應(yīng)用安全工具奉上：

1. Arxan Application Protection

該工具可用于運(yùn)行時(shí)應(yīng)用自保護(hù)(RASP)。Arxan Application Protection 可抵御逆向工程和代碼篡改，尤其適用于手機(jī)應(yīng)用。

• 目標(biāo)用戶：高級(jí)開(kāi)發(fā)人員
• 應(yīng)用聚焦：RASP
• 封裝：Mac、Windows、安卓、iOS、Linux
• 定價(jià)：請(qǐng)聯(lián)系供應(yīng)商

2. 新思科技出品的黑鴨子( Black Duck )

黑鴨子軟件可在應(yīng)用開(kāi)發(fā)過(guò)程中自動(dòng)化開(kāi)源安全及許可合規(guī)，可用于檢測(cè)、監(jiān)視、緩解和管理整個(gè)開(kāi)源應(yīng)用資產(chǎn)組合。新思科技一直在并購(gòu)其他應(yīng)用安全供應(yīng)商，比如Coverity和Codenomicon。

Gartner魔力象限領(lǐng)頭羊

• 目標(biāo)用戶：開(kāi)源項(xiàng)目開(kāi)發(fā)者
• 應(yīng)用聚焦：開(kāi)源應(yīng)用測(cè)試
• 封裝：軟件即服務(wù)(SaaS)
• 定價(jià)：現(xiàn)場(chǎng)演示版，請(qǐng)聯(lián)系供應(yīng)商

3. PortSwigger出品的 Burp Suite

Burp Suite 是多年來(lái)不斷擴(kuò)展和增強(qiáng)的流行滲透測(cè)試工具集之一。其所有工具的HTTP消息、駐留、身份驗(yàn)證、代理、日志和報(bào)警處理與顯示都共享同一個(gè)框架。付費(fèi)版包含更多手動(dòng)及自動(dòng)化測(cè)試工具，并與Jenkins之類其他框架進(jìn)行了集成，且有文檔完備的 REST API。

ITCS排名第七

• 目標(biāo)用戶：高級(jí)開(kāi)發(fā)人員
• 應(yīng)用聚焦：Web應(yīng)用滲透測(cè)試與漏洞掃描器
• 封裝：Mac、Windows、Linux、JAR
• 定價(jià)：各版本定價(jià)不同，有免費(fèi)版和最高4,000美元/年的付費(fèi)版，帶60天免費(fèi)試用期

4. CA/Veracode應(yīng)用安全平臺(tái)

Veracode提供一系列安全測(cè)試與威脅緩解技術(shù)，全部托管在中心平臺(tái)上，開(kāi)發(fā)和生產(chǎn)情況下都可以用來(lái)查找漏洞和評(píng)估風(fēng)險(xiǎn)。該產(chǎn)品已推出多年，有廣泛的用戶基礎(chǔ)，數(shù)10萬(wàn)不同應(yīng)用都曾用它進(jìn)行測(cè)試和評(píng)估。Veracode的最小安裝和完全安裝都非常好用，廣受用戶好評(píng)。

ITCS排名第一，Gartner魔力象限領(lǐng)跑者

• 目標(biāo)用戶：開(kāi)發(fā)人員
• 應(yīng)用聚焦：靜態(tài)及動(dòng)態(tài)代碼掃描
• 封裝：SaaS
• 定價(jià)：聯(lián)系供應(yīng)商

5. Checkmarx

Checkmarx提供一系列的應(yīng)用測(cè)試工具，包括靜態(tài)及動(dòng)態(tài)代碼掃描工具和用于分析開(kāi)源內(nèi)容的工具。這些工具支持一系列編程語(yǔ)言，應(yīng)用廣泛，可以持續(xù)監(jiān)視應(yīng)用程序以檢測(cè)漏洞。該公司收購(gòu)了Codebashing，并將之集成進(jìn)自己的軟件，擴(kuò)展其安全編碼培訓(xùn)功能。

ITCS排名第二，Gartner魔力象限領(lǐng)先者

• 目標(biāo)用戶：開(kāi)發(fā)人員
• 應(yīng)用聚焦：靜態(tài)及動(dòng)態(tài)代碼掃描，安全編碼培訓(xùn)
• 封裝：SaaS和現(xiàn)場(chǎng)
• 定價(jià)：聯(lián)系供應(yīng)商，免費(fèi)演示版

6. MicroFocus出品的Fortify

Fortify集成開(kāi)發(fā)與測(cè)試工具有SaaS、現(xiàn)場(chǎng)版和移動(dòng)版，可提供持續(xù)應(yīng)用監(jiān)視。盡管企業(yè)監(jiān)管者很多，但從惠普軟件組歸入MicroFocus的Fortify工具歷史悠久，安裝應(yīng)用廣泛。Fortify還可以集成進(jìn) Eclipse IDE 和 Visual Studio 中。

ITCS排名第三，Gartner魔力象限領(lǐng)先者

• 目標(biāo)用戶：開(kāi)發(fā)人員
• 應(yīng)用聚焦：靜態(tài)及移動(dòng)代碼掃描
• 封裝：SaaS和現(xiàn)場(chǎng)版
• 定價(jià)：15天免費(fèi)試用，聯(lián)系供應(yīng)商

7. IBM Security AppScan

IBM的應(yīng)用安全軟件很多，其中就有 Security AppScan。共有3個(gè)版本：源碼版、標(biāo)準(zhǔn)版和企業(yè)版。該軟件最為著名的一點(diǎn)就是可以導(dǎo)入來(lái)自人工代碼審查、滲透測(cè)試乃至競(jìng)爭(zhēng)對(duì)手軟件漏洞掃描器的多種數(shù)據(jù)格式，還有移動(dòng)版可以掃描iOS和安卓應(yīng)用。

ITCS排名第四，Gartner魔力象限領(lǐng)跑者

• 目標(biāo)用戶：大企業(yè)
• 應(yīng)用聚焦：應(yīng)用代碼掃描，包括移動(dòng)、靜態(tài)和動(dòng)態(tài)方法。
• 封裝：SaaS和現(xiàn)場(chǎng)
• 定價(jià)：30天免費(fèi)試用，聯(lián)系供應(yīng)商

8. Rogue Wave 出品的Klocwork

Klocwork提供的功能包括靜態(tài)應(yīng)用掃描、持續(xù)代碼集成和代碼架構(gòu)可視化工具，還內(nèi)建有CERT、CWE和OWASP等各種安全標(biāo)準(zhǔn)的檢查工具。Klocwork可標(biāo)記代碼注入、跨站腳本、內(nèi)存泄漏和其他脆弱編碼操作。

ITCS排名第九

• 目標(biāo)用戶：開(kāi)發(fā)人員
• 應(yīng)用聚焦：靜態(tài)代碼分析器
• 封裝：SaaS
• 定價(jià)：免費(fèi)試用

9. Qualys Web App Scanning

Qualys是應(yīng)用防護(hù)市場(chǎng)的老牌玩家，Qualys Web App Scanning 可查找并分類企業(yè)中所有Web應(yīng)用，執(zhí)行動(dòng)態(tài)掃描，報(bào)告惡意軟件感染，并提供修復(fù)代碼的方法。該產(chǎn)品是名為 Cloud Apps 的完整產(chǎn)品組合中的一部分。Cloud Apps 每年執(zhí)行數(shù)十億次掃描，還包含有基礎(chǔ)設(shè)施和終端安全工具，并支持其他Web應(yīng)用防火墻。這些服務(wù)都有免費(fèi)的刪減版，還有各種可用于SSL網(wǎng)站、證書(shū)和瀏覽器配置的免費(fèi)檢查工具。

ITCS排名第八

• 目標(biāo)用戶：Web應(yīng)用開(kāi)發(fā)人員
• 應(yīng)用聚焦：動(dòng)態(tài)應(yīng)用掃描
• 封裝：SaaS
• 定價(jià)：免費(fèi)版和30天免費(fèi)試用版，各種訂閱和使用費(fèi)

10. Imperva出品的Prevoty

Prevoty是又一款用于運(yùn)行時(shí)應(yīng)用自保護(hù)(RASP)的工具，可抵御逆向工程和代碼篡改，尤其適用于手機(jī)應(yīng)用。

• 目標(biāo)用戶：開(kāi)發(fā)人員
• 應(yīng)用聚焦：RASP
• 封裝：SaaS
• 定價(jià)：聯(lián)系供應(yīng)商

11. Selenium

Selenium有用于自動(dòng)化測(cè)試Web應(yīng)用及其在各瀏覽器中表現(xiàn)的一整套工具，配合其自身Selenium腳本集成開(kāi)發(fā)環(huán)境使用。這套工具以瀏覽器擴(kuò)展的形式實(shí)現(xiàn)，可供錄制、編輯和調(diào)試測(cè)試，還可以錄制和重放其腳本。Selenium還為檢測(cè)手機(jī)及Web瀏覽器安全問(wèn)題的各種插件提供廣泛的第三方支持。

• 目標(biāo)用戶：應(yīng)用開(kāi)發(fā)人員
• 應(yīng)用聚焦：Web應(yīng)用測(cè)試
• 封裝：需自備服務(wù)器，支持多種編程語(yǔ)言，包括 C#、Ruby和Python
• 定價(jià)：免費(fèi)

12. OWASP創(chuàng)建的WebGoat

WebGoat是開(kāi)放Web應(yīng)用安全計(jì)劃(OWASP)創(chuàng)建的特設(shè)不安全Web應(yīng)用。OWASP維護(hù)著事實(shí)上的關(guān)鍵Web漏洞列表。WebGoat就是個(gè)教學(xué)工具，向用戶展示常見(jiàn)漏洞利用的效果和在應(yīng)用中規(guī)避漏洞的必要性。WebGoat提供大量編碼樣例和其他小技巧，面世15年來(lái)已出到第八版。

• 目標(biāo)用戶：開(kāi)發(fā)人員
• 應(yīng)用聚焦：代碼注入、跨站腳本和不安全憑證等問(wèn)題的測(cè)試
• 封裝：JAR文件
• 定價(jià)：免費(fèi)

13. OWASP創(chuàng)建的 Zed Attack 代理

Zed Attack 同樣來(lái)自O(shè)WASP，是開(kāi)源社區(qū)的工作成果，用于在Web應(yīng)用開(kāi)發(fā)階段自動(dòng)化查找安全漏洞。Zed Attack 處于用戶App和瀏覽器之間，攔截Web流量并檢查其中有無(wú)漏洞。

ITCS排名第六

• 目標(biāo)用戶：開(kāi)發(fā)人員，尤其是開(kāi)發(fā)新手
• 應(yīng)用聚焦：僅Web應(yīng)用
• 封裝：Windows、Linux、Mac 和 Docker app，要求有 Java 7+
• 定價(jià)：免費(fèi)

威瑞森《2018數(shù)據(jù)泄露調(diào)查報(bào)告》：https://enterprise.verizon.com/resources/reports/dbir/

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文