開源為我們的開發(fā)帶來了極大便利，但這些便利也伴隨著一些安全隱患。每當(dāng)項(xiàng)目引入一個(gè)庫、框架、服務(wù)時(shí)，隨之而來的安全風(fēng)險(xiǎn)也不可忽視。

所以，當(dāng)開源吞噬世界的時(shí)候，代碼安全就更得重視了。今天 HelloGitHub 就給大家?guī)砹?10 款關(guān)于安全主題的開源項(xiàng)目，涵蓋了編碼安全、Web 安全、工具三個(gè)方面，雖不能做到面面俱到，但希望它可以拋磚引玉，借此喚起大家的安全意識(shí)。

如果你早就認(rèn)識(shí)到代碼安全的重要性，那這些開源項(xiàng)目中肯定也有適合你的一款，話不多說，下面就開始今天的“安全教育”。

一、編碼安全

從編碼習(xí)慣入手，提高安全意識(shí)。

1、secguide

騰訊開源的代碼安全指南。該項(xiàng)目包含：C/C++、Python、JavaScript、Java、Go 等語言的安全編碼指南，內(nèi)容簡單易懂能夠幫助開發(fā)者，在代碼源頭規(guī)避安全風(fēng)險(xiǎn)、減少漏洞。

地址：https://github.com/Tencent/secguide

2、safe-rules

由 360 質(zhì)量工程部開源的《代碼安全規(guī)則集合》。一份全面詳細(xì)的 C/C++ 編程規(guī)范指南，適用于桌面、服務(wù)端以及嵌入式等軟件開發(fā)。

地址：https://github.com/Qihoo360/safe-rules

二、Web 安全

通過檢查容易出錯(cuò)的地方，從而保證 Web 服務(wù)的安全性。

3、security-guide-for-developers

實(shí)用的 Web 開發(fā)人員安全須知。作為一個(gè) Web 開發(fā)者，你應(yīng)該在實(shí)際工作中認(rèn)真、經(jīng)常地使用這套列表，能夠有效地減少安全隱患。

地址：https://github.com/FallibleInc/security-guide-for-developers

4、Learn-Web-Hacking

一份很全面的 Web 安全學(xué)習(xí)筆記，內(nèi)容包括網(wǎng)絡(luò)協(xié)議、信息收集、常見漏洞攻防、內(nèi)網(wǎng)滲透等。

地址：https://github.com/LyleMi/Learn-Web-Hacking

5、Top10

該項(xiàng)目由 OWASP 社區(qū)（開放式 Web 應(yīng)用程序安全項(xiàng)目）一個(gè)致力于提高軟件安全性的非盈利基金會(huì)維護(hù)，OWASP Top 10 是針對(duì) Web 應(yīng)用程序的 10 大安全風(fēng)險(xiǎn)提示。

地址：https://github.com/OWASP/Top10

6、API-Security-Checklist

開發(fā)安全的 API 所需要核對(duì)的清單。在設(shè)計(jì)、測試和發(fā)布 API 的時(shí)候，需要核對(duì)的重要安全措施。

地址：https://github.com/shieldfy/API-Security-Checklist

三、工具

代碼千萬行，安全第一行。代碼量多了，就得借助工具來發(fā)現(xiàn)安全隱患啦。

7、nuclei

基于 YAML 語法模板的定制化快速漏洞掃描器，工程師可以輕松地使用它創(chuàng)建一套自定義的檢查方式。

支持多種協(xié)議：TCP、DNS、HTTP 等。

通過工作流和動(dòng)態(tài)請(qǐng)求實(shí)現(xiàn)復(fù)雜的漏洞掃描。

易于集成到 CI/CD，可以輕松的集成到發(fā)布流程上。

地址：https://github.com/projectdiscovery/nuclei

8、gitleaks

一款靜態(tài)應(yīng)用程序安全測試(SAST)工具。它可以檢測 Git 項(xiàng)目中是否包含密碼、API Key、token 等敏感信息，還能夠輕松整合到 Git Hook 和 GitHub Action，實(shí)現(xiàn)提交代碼時(shí)自動(dòng)檢測，通過告警和阻止 push 等方式，有效地防止敏感信息泄漏。

地址：https://github.com/zricethezav/gitleaks

9、trivy

一款全面的容器安全掃描工具。當(dāng)下最流行的開源容器鏡像漏洞掃描工具，擁有速度快、精準(zhǔn)度高、依賴檢測、機(jī)密檢查、對(duì) CI 友好等特點(diǎn)。它不僅安裝簡單而且容易上手，僅需一條命令，即可發(fā)現(xiàn)鏡像存在的安全漏洞。

地址：https://github.com/aquasecurity/trivy

10、vulhub

一個(gè)面向大眾的開源漏洞環(huán)境集合。無需 Docker 知識(shí)，僅需通過一條簡單的命令，就能跑起來一個(gè)存在某個(gè)漏洞的完整應(yīng)用。使得安全研究人員能夠方便地復(fù)現(xiàn)與研究漏洞，省去了學(xué)習(xí)復(fù)雜的部署知識(shí)、尋找有漏洞的舊版本應(yīng)用、搭建依賴的服務(wù)等麻煩。

地址：https://github.com/vulhub/vulhub

最后

本期的項(xiàng)目雖然沒有太多的趣味性，但都是良心之作“苦口婆心”。代碼安全無小事，只有不出事和事故兩種情況，嘴上喊一萬遍“安全第一”(我都懂，空了就改)，不如立馬帶上個(gè)“安全帽”(跑個(gè)安全掃描器)來得實(shí)在。