開(kāi)源工具是網(wǎng)絡(luò)安全發(fā)展的核心動(dòng)力之一，除了商業(yè)安全產(chǎn)品中使用的大量開(kāi)源代碼外，網(wǎng)絡(luò)安全行業(yè)大量網(wǎng)絡(luò)安全框架、工具、方法、模型甚至情報(bào)都以開(kāi)源方式分享和發(fā)展。開(kāi)源安全項(xiàng)目對(duì)于推動(dòng)網(wǎng)絡(luò)安全技術(shù)的創(chuàng)新和標(biāo)準(zhǔn)化正發(fā)揮著越來(lái)越重要的作用。

以下，我們整理了近年來(lái)發(fā)布的30個(gè)不容錯(cuò)過(guò)的優(yōu)秀開(kāi)源安全項(xiàng)目，覆蓋大語(yǔ)言模型安全、滲透測(cè)試、漏洞掃描和網(wǎng)絡(luò)監(jiān)控、加密和事件響應(yīng)的各個(gè)領(lǐng)域，可幫助個(gè)人和企業(yè)在新的一年中更好地保護(hù)其數(shù)字資產(chǎn)：

AI安全

LLM Guard：可用于生產(chǎn)環(huán)境的大語(yǔ)言模型開(kāi)源安全工具

LLM Guard是一個(gè)保護(hù)和強(qiáng)化大型語(yǔ)言模型(LLM)安全性的開(kāi)源工具包，專為在生產(chǎn)環(huán)境中集成和部署而設(shè)計(jì)。LLM Guard為大語(yǔ)言模型的輸入和輸出內(nèi)容提供了全面的評(píng)估和保護(hù)功能，包括清理、有害語(yǔ)言和數(shù)據(jù)泄漏檢測(cè)以及防止提示注入和越獄攻擊。

LLM Guard可用于防護(hù)和強(qiáng)化任何應(yīng)用于生產(chǎn)環(huán)境的大語(yǔ)言模型，包括ChatGPT、Claude、Bard等基礎(chǔ)模型。

地址：https://github.com/laiyer-ai/llm-guard

Vigil：開(kāi)源LLM安全掃描器

Vigil是一款開(kāi)源安全掃描程序，可檢測(cè)提示注入、越獄以及對(duì)大型語(yǔ)言模型(LLM)的其他潛在威脅。該工具還提供自托管所需的檢測(cè)簽名和數(shù)據(jù)集。

地址：https://github.com/deadbits/vigil-llm

滲透測(cè)試

SessionProbe：開(kāi)源多線程滲透測(cè)試工具

SessionProbe是一款多線程滲透測(cè)試工具，旨在評(píng)估Web應(yīng)用程序中的用戶權(quán)限。它獲取用戶的會(huì)話令牌并檢查URL列表（如果可以訪問(wèn)），突出顯示潛在的授權(quán)問(wèn)題。它可以刪除重復(fù)的URL列表并提供實(shí)時(shí)日志記錄和進(jìn)度跟蹤。

地址：https://github.com/dub-flow/sessionprobe

BloodHound CE 5.0

SpecterOps發(fā)布的BleedHound CE（社區(qū)版）5.0版本是一種免費(fèi)的開(kāi)源滲透測(cè)試解決方案，可映射Microsoft Active Directory (AD)和Azure（包括Azure AD/Entra ID）環(huán)境中的攻擊路徑。

新版BloodHound CE增加了許多企業(yè)級(jí)可用性功能，例如容器化部署、REST API、用戶管理和訪問(wèn)控制。它還顯著提高了性能，簡(jiǎn)化了開(kāi)發(fā)，從而加快了開(kāi)發(fā)速度。

地址：https://github.com/BloodHoundAD

GOAD：用于練習(xí)攻擊技術(shù)的Active Directory實(shí)驗(yàn)環(huán)境

Gameof Active Directory (GOAD)是一個(gè)免費(fèi)的滲透測(cè)試實(shí)驗(yàn)室。它為滲透測(cè)試人員提供了一個(gè)易受攻擊的Active Directory環(huán)境來(lái)練習(xí)常見(jiàn)的攻擊方法。

地址：https://github.com/Orange-Cyberdefense/GOAD

紅隊(duì)/藍(lán)隊(duì)

ATT&CK Navigator

ATT&CK Navigator是ATT&CK矩陣的導(dǎo)航和注釋工具，使用方法類似于Excel。它提供了一種可視化防守覆蓋范圍、以及計(jì)劃和跟蹤紅/藍(lán)團(tuán)隊(duì)活動(dòng)和技術(shù)的方法。它還支持用戶操作矩陣單元格，例如添加注釋或顏色編碼。

ATT&CK Navigator的主要功能是創(chuàng)建自定義圖層，提供ATT&CK知識(shí)庫(kù)的個(gè)性化視角。用戶可通過(guò)交互方式或編程方式創(chuàng)建圖層，然后使用導(dǎo)航器進(jìn)行可視化。

地址：https://github.com/mitre-attack/attack-navigator

Dismap：資產(chǎn)發(fā)現(xiàn)與識(shí)別

Dismap是一個(gè)資產(chǎn)發(fā)現(xiàn)和識(shí)別工具，支持Web、TCP和UDP等協(xié)議，可檢測(cè)各種資產(chǎn)類型，適用于內(nèi)部和外部網(wǎng)絡(luò)。Dismap能協(xié)助紅隊(duì)人員識(shí)別潛在風(fēng)險(xiǎn)資產(chǎn)，并支持藍(lán)隊(duì)人員檢測(cè)可疑的脆弱資產(chǎn)。

Dismap的指紋規(guī)則庫(kù)包含TCP、UDP和TLS協(xié)議指紋，以及4500多個(gè)Web指紋規(guī)則。這些規(guī)則有助于識(shí)別元素，例如網(wǎng)站圖標(biāo)、正文、標(biāo)題和其他相關(guān)組件。

地址：https://github.com/zhzyker/dismap

Nidhogg：專為紅隊(duì)設(shè)計(jì)的rootkit

Nidhogg是為紅隊(duì)設(shè)計(jì)的rootkit，整合多種功能且用戶友好，僅通過(guò)一個(gè)header文件即可輕松集成到紅隊(duì)的C2框架中。

Nidhogg與x64版本的Windows10和Windows11兼容。存儲(chǔ)庫(kù)包括一個(gè)內(nèi)核驅(qū)動(dòng)程序和一個(gè)用于通信目的的C++頭文件。

地址：https://github.com/Idov31/Nidhogg

RedEye：紅隊(duì)分析和報(bào)告工具

RedEye是CISA和能源部太平洋西北國(guó)家實(shí)驗(yàn)室開(kāi)發(fā)的開(kāi)源分析工具。其目的是支持紅隊(duì)分析和報(bào)告指揮和控制活動(dòng)。它幫助運(yùn)營(yíng)者評(píng)估緩解策略，可視化復(fù)雜數(shù)據(jù)，并根據(jù)紅隊(duì)評(píng)估的結(jié)果做出明智的決策。

該工具旨在解析日志，特別是由Cobalt Strike生成的日志，并以易于理解的用戶友好格式呈現(xiàn)數(shù)據(jù)。用戶可以標(biāo)記工具中顯示的活動(dòng)并添加注釋，從而增強(qiáng)協(xié)作和分析。RedEye還提供演示模式，允許操作員向利益相關(guān)者展示他們的發(fā)現(xiàn)和工作流程。

地址：https://github.com/cisagov/RedEye

Nemesis：開(kāi)源攻擊性數(shù)據(jù)富化和分析平臺(tái)

Nemesis是一個(gè)集中式數(shù)據(jù)處理平臺(tái)，可攝取、富化攻擊性安全評(píng)估數(shù)據(jù)（即滲透測(cè)試和紅隊(duì)參與期間收集的數(shù)據(jù)）并對(duì)其進(jìn)行分析。

Nemesis旨在自動(dòng)化操作員在交戰(zhàn)中遇到的許多重復(fù)性任務(wù)，增強(qiáng)操作員的分析能力和集體知識(shí)，并創(chuàng)建盡可能多的操作數(shù)據(jù)的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)，以幫助指導(dǎo)未來(lái)的研究并促進(jìn)進(jìn)攻性數(shù)據(jù)分析。

地址：https://github.com/SpecterOps/Nemesis

威脅情報(bào)

Mosint：開(kāi)源自動(dòng)化電子郵件OSINT工具

Mosint是一款用Go編寫的自動(dòng)化電子郵件OSINT工具，旨在促進(jìn)對(duì)目標(biāo)電子郵件的快速高效調(diào)查。它集成了多種服務(wù)，使安全研究人員能夠快速訪問(wèn)廣泛的信息。

Mosint與其他工具的最重要區(qū)別在于它的速度和集成度。它從多個(gè)服務(wù)異步提取數(shù)據(jù)，并且使用簡(jiǎn)單。

地址：https://github.com/alpkeskin/mosint

Yeti：開(kāi)放、分布式、威脅情報(bào)存儲(chǔ)庫(kù)

Yeti是一個(gè)統(tǒng)一平臺(tái)，用于整合可觀察數(shù)據(jù)、妥協(xié)指標(biāo)、TTP和威脅相關(guān)知識(shí)。它會(huì)自動(dòng)增強(qiáng)可觀察的結(jié)果，例如域解析和IP地理定位，從而節(jié)省您的精力。憑借其基于Bootstrap構(gòu)建的用戶友好界面和機(jī)器友好的Web API，Yeti能確保個(gè)人和集成工具的流暢交互。

地址：https://github.com/yeti-platform/yeti

SpiderFoot：OSINT自動(dòng)化工具

SpiderFoot是一個(gè)開(kāi)源情報(bào)（OSINT）自動(dòng)化工具。它與各種數(shù)據(jù)源集成，并采用多種數(shù)據(jù)分析方法，便于對(duì)收集的信息進(jìn)行導(dǎo)航。

SpiderFoot集成了嵌入式Web服務(wù)器，可提供用戶友好的基于Web的界面，用戶也可以選擇完全通過(guò)命令行進(jìn)行操作。該工具用Python 3編碼，并在MIT許可下發(fā)布。

地址：https://github.com/smicallef/spiderfoot

云原生應(yīng)用安全

CNAPPgoat：開(kāi)源云原生安全測(cè)試工具

CNAPPgoat支持AWS、Azure (Microsoft Entra ID)和GCP平臺(tái)，用于評(píng)估云原生應(yīng)用程序保護(hù)平臺(tái)(CNAPP)的安全功能。能幫助企業(yè)在易于部署和銷毀的交互式沙箱環(huán)境中測(cè)試其云安全技能、流程、工具和狀態(tài)。

與其它發(fā)現(xiàn)潛在攻擊路徑的云安全測(cè)試工具不同，CNAPPgoat提供了一個(gè)龐大且不斷擴(kuò)展的場(chǎng)景庫(kù)。

地址：https://github.com/ermetic-research/cnappgoat.git

K8s安全

k0smotron：開(kāi)源K8s集群管理

開(kāi)源解決方案k0smotron適合企業(yè)進(jìn)行生產(chǎn)級(jí)K8s集群管理，提供兩個(gè)支持選項(xiàng)。

管理平面和工作平面不必在同一基礎(chǔ)設(shè)施提供商上運(yùn)行，這使得k0smotron成為整合K8s控制平面以實(shí)現(xiàn)邊緣、混合和多云部署的理想選擇。此外，這使得將K8s控制平面設(shè)置為臨時(shí)Pod成為可能，這些Pod可以隨著工作負(fù)載需求的變化而啟動(dòng)或關(guān)閉。

地址：https://github.com/k0sproject/k0smotron

Kubescape 3.0提升開(kāi)源K8s安全性

針對(duì)DevSecOps從業(yè)者或平臺(tái)工程師的開(kāi)源Kubernetes安全平臺(tái)Kubescape已更新到3.0版本。

Kubescape是第一個(gè)用于測(cè)試K8s是否按照NSA和CISA的Kubernetes Hardening Guidance中的定義安全部署的工具。用戶可根據(jù)NSA、MITRE、Devops Best等多個(gè)框架檢測(cè)錯(cuò)誤配置，還可以創(chuàng)建自己的框架。

最近的調(diào)查顯示,51%的鏡像中存在漏洞,使用kubescape不僅可以掃描容器鏡像中的漏洞，還可以查看kubescape漏洞的嚴(yán)重性和最易受攻擊的圖像，并優(yōu)先修復(fù)它們。

地址：https://github.com/kubescape/kubescape

數(shù)據(jù)安全

Cryptomator：云數(shù)據(jù)客戶端加密

Cryptomator是一個(gè)開(kāi)源跨平臺(tái)工具，為存儲(chǔ)在云中的文件提供客戶端加密。

與許多云提供商提供的加密服務(wù)不同（云提供商通常僅在傳輸過(guò)程中加密數(shù)據(jù)或保留解密密鑰本身），Cryptomator確保只有用戶擁有其數(shù)據(jù)的密鑰。這種方法可將密鑰被盜、復(fù)制或?yàn)E用的風(fēng)險(xiǎn)降至最低。

Cryptomator還支持用戶從任何設(shè)備訪問(wèn)他們的文件。

地址：https://github.com/cryptomator/cryptomator

Tink：Google開(kāi)發(fā)的加密API

Tink是由Google密碼學(xué)家和安全工程師開(kāi)發(fā)的開(kāi)源加密庫(kù)，提供安全且用戶友好的API，通過(guò)以用戶為中心的設(shè)計(jì)方法、嚴(yán)謹(jǐn)?shù)膶?shí)現(xiàn)和代碼審查以及徹底的測(cè)試來(lái)最大限度地減少常見(jiàn)錯(cuò)誤。

Tink專門設(shè)計(jì)用于幫助沒(méi)有加密背景的用戶安全地執(zhí)行加密任務(wù)，已部署在Google的眾多產(chǎn)品和系統(tǒng)中。

地址：https://github.com/google/tink

事件調(diào)查與響應(yīng)

AWS Kill Switch：開(kāi)源事件響應(yīng)工具

AWS Kill Switch是一種開(kāi)源事件響應(yīng)工具，用于在安全事件期間快速鎖定AWS賬戶和IAM角色。當(dāng)攻擊者已經(jīng)獲得IAM角色并觸發(fā)SOC警報(bào)時(shí)，工程師可以使用此工具（或從該工具借用代碼作為其工具的一部分）分離所有策略并立即刪除角色（注意：刪除策略、刪除角色以及在生產(chǎn)中應(yīng)用SCP可能會(huì)破壞應(yīng)用程序）。

地址：https://github.com/secengjeff/awskillswitch

Velociraptor：快速數(shù)字取證和事件響應(yīng)

Velociraptor是一款先進(jìn)的數(shù)字取證和事件響應(yīng)工具，旨在提高用戶對(duì)端點(diǎn)活動(dòng)的洞察力。該工具支持用戶同時(shí)跨多個(gè)端點(diǎn)精確、快速地收集數(shù)字取證數(shù)據(jù)。

地址：https://github.com/Velocidex/velociraptor

Malwoverview：流行的威脅狩獵工具

Malwoverview是流行的威脅狩獵工具，可用于惡意軟件樣本、URL、IP地址、域、惡意軟件系列、IOC和哈希的初始和快速評(píng)估。

它提供了生成動(dòng)態(tài)和靜態(tài)行為報(bào)告的功能，并允許用戶從各種端點(diǎn)提交和下載樣本。Malwoverview還可以充當(dāng)已有沙盒的客戶端，能夠有效分析潛在威脅。

地址：https://github.com/alexandreborges/malwoverview

惡意軟件分析、逆向工程

BinDiff：二進(jìn)制文件的開(kāi)源比較工具

BinDiff是一個(gè)二進(jìn)制文件比較工具，可以快速查找反匯編代碼中的差異和相似之處，可用于識(shí)別并隔離供應(yīng)商提供的補(bǔ)丁中的漏洞修復(fù)。您還可以在同一二進(jìn)制文件的多個(gè)版本的反匯編之間移植符號(hào)和注釋，或使用BinDiff收集代碼盜竊或?qū)＠謾?quán)的證據(jù)。

地址：https://github.com/google/bindiff

ImHex：二進(jìn)制數(shù)據(jù)分析工具

ImHex是一個(gè)十六進(jìn)制編輯器：一種顯示、解碼和分析二進(jìn)制數(shù)據(jù)的工具，以對(duì)其格式進(jìn)行逆向工程，提取信息或打補(bǔ)丁。

ImHex提供很多高級(jí)功能，例如：完全自定義的二進(jìn)制模板和模式語(yǔ)言、用于解碼和突出顯示數(shù)據(jù)中的結(jié)構(gòu)、基于圖形節(jié)點(diǎn)的數(shù)據(jù)處理器、用于在顯示值之前對(duì)其進(jìn)行預(yù)處理、反匯編器、差異支持、書(shū)簽等等。ImHex在GPLv2許可證下開(kāi)源。

地址：https://github.com/WerWolv/ImHex

x64dbg：專為Windows設(shè)計(jì)的二進(jìn)制調(diào)制器

x64dbg是專為Windows操作系統(tǒng)設(shè)計(jì)的開(kāi)源二進(jìn)制調(diào)試器，側(cè)重于在源代碼不可用時(shí)對(duì)惡意軟件進(jìn)行分析或?qū)蓤?zhí)行文件進(jìn)行逆向工程。

地址：https://github.com/x64dbg/x64dbg

安全運(yùn)營(yíng)管理

Logging Made Easy：：讓日志記錄變得簡(jiǎn)單

CISA推出的Logging Made Easy (LME)是一種適用于基于Windows的設(shè)備的簡(jiǎn)單日志管理解決方案，可以免費(fèi)下載和自行安裝。

日志管理對(duì)許多目標(biāo)組織來(lái)說(shuō)都是一個(gè)沉重的負(fù)擔(dān)，尤其是那些資源有限的組織。CISA的LME是一個(gè)交鑰匙解決方案，適合尋求加強(qiáng)網(wǎng)絡(luò)安全同時(shí)減輕日志管理負(fù)擔(dān)的公共和私人組織。

地址：https://github.com/cisagov/LME

Wazuh：免費(fèi)開(kāi)源XDR和SIEM

Wazuh是一個(gè)專為威脅檢測(cè)、預(yù)防和響應(yīng)而設(shè)計(jì)的開(kāi)源平臺(tái)。它可以保護(hù)本地、虛擬、容器和云設(shè)置中的工作負(fù)載。

Wazuh有兩個(gè)主要組件：端點(diǎn)安全代理和管理服務(wù)器。端點(diǎn)安全代理安裝在受監(jiān)視的系統(tǒng)上，并負(fù)責(zé)收集與安全相關(guān)的數(shù)據(jù)。管理服務(wù)器接收代理收集的數(shù)據(jù)并對(duì)其執(zhí)行分析。

Wazuh已與Elastic Stack完全集成，提供搜索引擎和數(shù)據(jù)可視化工具。此集成允許用戶瀏覽其安全警報(bào)并從收集的數(shù)據(jù)中獲得見(jiàn)解。

地址：https://github.com/wazuh/wazuh

System Informer：多用途系統(tǒng)資源監(jiān)控工具

System Informer是一個(gè)免費(fèi)的多用途工具，能夠監(jiān)控系統(tǒng)資源，調(diào)試軟件和檢測(cè)惡意軟件。

它提供以下功能：

• 概覽正在運(yùn)行的進(jìn)程和資源使用情況
• 詳細(xì)的系統(tǒng)信息和圖表
• 查看和編輯服務(wù)
• 其他一些軟件調(diào)試和分析功能

地址：https://github.com/winsiderss/systeminformer    

Prometheus：強(qiáng)大的數(shù)據(jù)監(jiān)控解決方案

Prometheus是一個(gè)功能強(qiáng)大的為數(shù)據(jù)監(jiān)控解決方案，擁有一個(gè)大型社區(qū)提供支持，該社區(qū)由來(lái)自700多家企業(yè)的6300多位貢獻(xiàn)者組成，代碼提交高達(dá)13500次，pullrequest數(shù)量超過(guò)7200次。

Prometheus的功能特點(diǎn)包括：多維數(shù)據(jù)模型（基于時(shí)間序列的鍵值對(duì)）、靈活的查詢和聚合語(yǔ)言PromQL、提供本地存儲(chǔ)和分布式存儲(chǔ)等。

地址：https://github.com/prometheus/prometheus

Matano：可替代SIEM的安全數(shù)據(jù)湖平臺(tái)

Matano是一個(gè)開(kāi)源云原生安全湖平臺(tái)，可替代SIEM（安全信息和事件管理）。它可以在AWS平臺(tái)上實(shí)現(xiàn)大規(guī)模PB級(jí)的威脅搜尋、檢測(cè)、響應(yīng)和網(wǎng)絡(luò)安全分析。

借助Matano，用戶可以使用基于S3（簡(jiǎn)單存儲(chǔ)服務(wù)）或SQS（簡(jiǎn)單隊(duì)列服務(wù)）的攝取方法來(lái)收集數(shù)據(jù)。它帶有預(yù)配置的源，如CloudTrail，Zeek和Okta，并且還會(huì)自動(dòng)從所有SaaS源中檢索日志數(shù)據(jù)。

地址：https://github.com/matanolabs/matano

Faraday：可視化漏洞管理器

Faraday是一個(gè)開(kāi)源漏洞管理器，可幫助安全專業(yè)人員專注于查找漏洞，同時(shí)簡(jiǎn)化組織他們的工作流程。

Faraday的主要功能之一是能夠聚合和規(guī)范化加載到其中的數(shù)據(jù)。這使管理人員和分析師能夠通過(guò)各種可視化來(lái)探索數(shù)據(jù)，從而有助于更好地了解漏洞并有助于決策過(guò)程。

地址：https://github.com/infobyte/faraday

DNS安全

PolarDNS：專為安全評(píng)估量身定制的開(kāi)源DNS服務(wù)器

PolarDNS是一個(gè)專門的權(quán)威DNS服務(wù)器，允許運(yùn)營(yíng)商生成適合DNS協(xié)議測(cè)試目的的自定義DNS響應(yīng)。

PolarDNS可用于測(cè)試：

• DNS解析器（服務(wù)器端）
• DNS客戶端
• DNS庫(kù)
• DNS解析器和解析器
• 任何處理DNS信息的軟件

地址：https://github.com/oryxlabs/PolarDNS