Si recién está comenzando en la seguridad de TI, es posible que se pregunte por dónde empezar con el proceso de proteger los datos de una organización.
Hay marcos disponibles que pueden proporcionarle parte de esta información. Uno de los desafíos de esto es que cada organización será un poco diferente.
Por ejemplo, su organización puede tener requisitos únicos de seguridad según la línea de trabajo en la que se encuentre. Puede haber cumplimiento y regulaciones que deba seguir, e internamente, habrá un conjunto completamente diferente de políticas y herramientas de seguridad. de lo que podría ver en una organización diferente.
Hay muchos marcos de seguridad que puede utilizar para guiarle por este camino en particular.
Estos marcos pueden ayudarlo a comprender los diferentes procesos de seguridad disponibles y pueden ayudarlo a comprender lo que debe hacer para seguir esos procesos en particular.
Los 10 principales marcos de verificación de seguridad de código abierto:
1- snyk
snyk
Snyk es una plataforma de seguridad de código abierto que detecta automáticamente vulnerabilidades y acelera su reparación durante todo el proceso de desarrollo. Con él, puede proteger todos los componentes de la aplicación moderna nativa de la nube en una única plataforma.
Cuenta con análisis de código semántico en tiempo real, aprendizaje continuo de IA y también incorpora seguridad de aplicaciones nativas de la nube en cada equipo de desarrollo.
Snyk tiene la licencia Apache.
GitHub: https://github.com/snyk/
2- w3af
w3af
El w3af Es un marco de ataque y auditoría. Es un escáner de seguridad de aplicaciones web gratuito para crear un marco que le ayudará a proteger sus aplicaciones web al encontrar y explotar todas las vulnerabilidades de las aplicaciones web.
Ayuda a los desarrolladores y evaluadores de penetración a identificar y explotar vulnerabilidades en sus aplicaciones web.
El marco w3af se creó utilizando Python para que fuera fácil de usar y tiene la licencia GPLv2.0.
GitHub: https://github.com/andresriancho/w3af
3- Aracni
Aracni
Arachni es un framework Ruby gratuito y de código abierto. Este es un marco completo de análisis de seguridad de aplicaciones web que se centra en ayudar a los administradores y evaluadores de penetración a evaluar la seguridad de las aplicaciones web modernas.
Es multiplataforma y admite todos los principales sistemas operativos (MS Windows, Mac OS X y Linux).
Tiene la licencia GPL-2.0 y está escrito en lenguaje Ruby.
GitHub: http://phoenix.yizimg.com/sempervictus/arachni
4- OWASP
OWASP
Open Web Application Security Project (OWASP) es una herramienta de análisis de código fuente (herramientas de prueba de seguridad de aplicaciones estáticas (SAST)), que están diseñadas para analizar el código fuente o versiones compiladas de código para ayudar a encontrar fallas de seguridad.
Tiene algunas herramientas para detectar problemas durante la fase de desarrollo de software y también proporciona retroalimentación inmediata al desarrollador sobre problemas que podrían estar introduciendo en el código durante el desarrollo del código.
Puedes consultar las herramientas en la tabla de su sitio web.
Todos los materiales de OWASP están disponibles bajo una licencia FLOSS aprobada.
GitHub: https://github.com/OWASP
5- Apache Yetus
Apache Yetus
Apache Yetus es una colección de bibliotecas y herramientas que permiten el proceso de contribución y lanzamiento de proyectos de software.
Tiene una lista de componentes como fuente del sitio web, confirmación previa, anotaciones de audiencia, documentos de shell, lanzamiento de Doc Maker, complemento Yetus-maven y más.
Apache Yetus se publica bajo la licencia Apache-2.0.
GitHub: https://github.com/JD-Software/JDeSurvey
6- OpenSCAP
OpenSCAP
OpenSCAP proporciona múltiples herramientas para ayudar a los administradores y auditores con la evaluación, medición y aplicación de las líneas base de seguridad.
Mantiene una gran flexibilidad e interoperabilidad, reduciendo los costos de realización de auditorías de seguridad. Su objetivo es realizar análisis de configuración y vulnerabilidad de un sistema local.
Además, es de uso gratuito en cualquier plataforma, el código fuente de todas las herramientas OpenSCAP es público, proporciona herramientas y políticas personalizables para una implementación rápida, rentable y flexible, representa tanto una biblioteca como una herramienta de línea de comandos. .
OpenSCAP está disponible en varias distribuciones de Linux, incluidas Red Hat Enterprise Linux, Fedora y Ubuntu. OpenSCAP actualmente está funcionando en Microsoft Windows desde su lanzamiento 1.3.0.
El proyecto se publica bajo la licencia LGPL-2.1.
GitHub: https://github.com/OpenSCAP
7- SonarQube
SonarQube
SonarQube es un código abierto para que los desarrolladores escriban código más limpio y seguro.
Con él, puede mejorar su flujo de trabajo con calidad y seguridad de código continuas, detectar errores complicados para evitar que comportamientos indefinidos afecten a los usuarios finales y corregir vulnerabilidades que comprometen su aplicación. También garantizará que su código base esté limpio y sea fácil de mantener, para aumentar la velocidad del desarrollador.
SonarQube escribió con java y obtuvo la licencia LGPL-3.0.
GitHub: https://github.com/SonarSource/sonarqube
8- metasploit
metasploit
Metasploit es un marco de pruebas de penetración para equipos de seguridad ofensivos. Fue lanzado bajo una licencia estilo BSD.
Es una herramienta de validación de vulnerabilidades que le ayuda a dividir el flujo de trabajo de las pruebas de penetración en secciones manejables.
Además, Metasploit contiene una interfaz de línea de comandos, importación de terceros, explotación manual, acción y fuerza bruta manual.
La versión gratuita de Metasploit incluye Zenmap, un escáner de seguridad y un compilador para Ruby.
GitHub: https://github.com/rapid7/metasploit-framework
9- Marco de conocimientos de seguridad
SKF
SKF, un marco de conocimiento de seguridad de código abierto que lo capacitará a usted y a su equipo para escribir código seguro, por diseño. Se basa en una aplicación web Python-Flask que utiliza el estándar de verificación de seguridad de aplicaciones OWASP.
Le ayuda a escribir un código seguro con su equipo. Con él, puede crear proyectos y comenzar a recopilar requisitos para sus funciones/sprints, tiene mucho
s ejemplos de código, viene con ASVS y MASVS, puede entrenar sus habilidades de piratería con más de 50 laboratorios interactivos, es administración de usuarios.
SKF es un proyecto Python Flask/Angular y tiene la licencia GNU 3.0.
GitHub: https://github.com/blabla1337/skf-flask
10- FOSA
FOSA
Otra gestión de dependencias de código abierto buena, fácil y flexible para equipos empresariales. Con cumplimiento automatizado, seguridad y calidad.
FOSA quiere ayudar a los desarrolladores a gestionar el complicado terreno de la gestión de licencias de código abierto.
Cuenta con identificación universal, gobernanza escalable, informes de nivel empresarial y protección automatizada en tiempo real contra vulnerabilidades.
También admite escaneo de licencias y vulnerabilidades para monolitos grandes. Independiente del idioma; Se integra con más de 20 sistemas de construcción.
FOSA está construido con lenguaje Go y tiene la licencia MPL-2.0.
GitHub: https://github.com/fossas
Si tiene algún software adicional que le gustaría ver en esta lista, nos encantaría saberlo en los comentarios.
Etiquetas
Lista de código abierto desarrollo de seguridad desarrollo web Enterprise Browser Basado en navegador Servicios web basados en web escritorio macos Windows Linux