這是一份安全開源項目清單,收集了一些比較優秀的安全開源項目,以幫助甲方安全從業人員構建企業安全能力。
這些開源項目,每一個都在致力於解決一些安全問題。
項目收集的思路:
一個是關注互聯網企業/團隊的安全開源項目,經企業內部實踐,這些最佳實踐值得借鑑。一個是來自企業安全能力建設的需求,根據需求分類,如WAF、HIDS、Git監控等。
這個收集是一個長期的過程,我在GitHub創建了這個項目,專門用來收集一些優秀的甲方安全項目。還有很多很好的免費開源項目可供選擇,下面列出的還只是其中很少的一部分,我將持續更新這個項目,歡迎Star。
GitHub項目地址:
https://github.com/Bypass007/Safety-Project-Collection
根據企業安全能力建設的需求,大致可以分爲如下幾種類型:
1、資產管理
BlueKing CMDB:一個面向資產及應用的企業級配置管理平臺。
https://github.com/Tencent/bk-cmdb
OpsManage:一款代碼部署、應用部署、計劃任務、設備資產管理平臺。
https://github.com/bongmu/OpsManage
Assets View:資產發現、網絡拓撲管理系統。
https://github.com/Cryin/AssetsView
Ansible:一種集成 IT 系統的配置管理、應用部署、執行特定任務的開源平臺。
https://www.ansible.com/
Saltstack:一個具備puppet與func功能爲一身的集中化管理平臺。
https://docs.saltstack.com/en/latest/
2、漏洞管理
insight:洞察-宜信集應用系統資產管理、漏洞全生命週期管理、安全知識庫管理三位一體的平臺。
https://github.com/creditease-sec/insight
xunfeng:一款適用於企業內網的漏洞快速應急,巡航掃描系統。
https://github.com/ysrc/xunfeng
SRCMS:企業應急響應與缺陷管理系統
https://github.com/martinzhou2015/SRCMS
laravel-src:基於 Laravel 的開源安全應急響應中心平臺。
https://github.com/233sec/laravel-src
DefectDojo:一個安全程序和漏洞管理工具。
https://github.com/DefectDojo/django-DefectDojo
Fuxi-Scanner:一款開源的網絡安全檢測工具,適用於中小型企業對企業信息系統進行安全巡航檢測。
https://github.com/jeffzh3ng/Fuxi-Scanner
SeMF:企業內網安全管理平臺,包含資產管理,漏洞管理,賬號管理,知識庫管、安全掃描自動化功能模塊,可用於企業內部的安全管理。
https://gitee.com/gy071089/SecurityManageFramwork
3、安全開發規範
rhizobia_J:JAVA安全SDK及編碼規範。
https://github.com/momosecurity/rhizobia_J
rhizobia_P:PHP安全SDK及編碼規範。
https://github.com/momosecurity/rhizobia_P
4、自動化代碼審計
fortify:靜態代碼掃描工具。【破解即免費】。
http://www.fortify.net/
RIPS:用於PHP腳本漏洞的靜態源代碼分析器。
http://rips-scanner.sourceforge.net/
OpenStack Bandit:基於Python AST的靜態分析器,用來查找Python代碼中存在的通用安全問題的工具。
https://github.com/openstack/bandit/releases/
Cobra:一款源代碼安全審計工具,支持檢測多種開發語言源代碼中的大部分顯著的安全問題和漏洞。
https://github.com/WhaleShark-Team/cobra
banruo:基於的fotify的自動化代碼審計系統。
https://github.com/yingshang/banruo
VCG:一種用於C++、C語言、VB、PHP、Java和PL/SQL的自動代碼安全審查工具。
https://sourceforge.net/projects/visualcodegrepp/
Find Security Bugs:用於Java Web應用程序的安全審計。
https://find-sec-bugs.github.io/
Hades:靜態代碼脆弱性檢測系統。
https://github.com/zsdlove/Hades
5、開源WAF
ngx_lua_waf:一個基於LUA-nginx的模塊(openresty)的網絡應用防火牆。
https://github.com/loveshell/ngx_lua_waf
OpenRASP:一款免費、開源的應用運行時自我保護產品。
https://rasp.baidu.com
ModSecurity:一個入侵偵測與防護引擎。
http://www.modsecurity.org/
錦衣盾:基於openresty(nginx+lua)開發的下一代web應用防火牆。
http://www.jxwaf.com
x-waf:適用於中小企業的雲waf。
https://github.com/xsec-lab/x-waf
6、堡壘機
Jumpserver:全球首款完全開源的堡壘機,是符合4A的專業運維審計系統。
https://github.com/jumpserver/jumpserver
teleport:一款簡單易用的開源堡壘機系統,支持RDP/SSH/SFTP/Telnet 協議的遠程連接和審計管理。
https://tp4a.com/
CrazyEye:基於Python的開發的一款簡單易用的IT審計堡壘機。
https://github.com/triaquae/CrazyEye
gateone:一款使用HTML5技術編寫的網頁版SSH終端模擬器。
https://github.com/liftoff/GateOne
JXOTP:一款企業SSH登陸雙因素認證系統。
https://github.com/jx-sec/jxotp
麒麟堡壘機:開源版只支持一部分功能,剩下的功能需要購買。
https://www.tosec.com.cn/
7、HIDS
OSSEC:一款開源的IDS檢測系統,包括了日誌分析、完整性檢查、rook-kit檢測,基於時間的警報和主動響應。
https://www.ossec.net
Wazuh:一個免費的,開源的企業級安全監控解決方案,用於威脅檢測,完整性監控,事件響應和合規性。
http://wazuh.com
Suricata:一個免費的開源,成熟,快速和強大的網絡威脅檢測引擎。
https://suricata-ids.org
Snort:網絡入侵檢測和預防系統。
https://www.snort.org
Osquery:一個SQL驅動操作系統檢測和分析工具。
https://osquery.io/
Samhain Labs:用於集中式主機完整性監控的全面開源解決方案。
https://www.la-samhna.de/
Firestorm:一種極高性能的網絡入侵檢測系統(NIDS)。
http://www.scaramanga.co.uk/firestorm/
MozDef:Mozilla防禦平臺,一套實時集成化平臺,能夠實現監控、反應、協作並改進相關保護功能。
https://github.com/mozilla/MozDef
馭龍HIDS:開源的主機入侵檢測系統。
https://github.com/ysrc/yulong-hids
AgentSmith-HIDS:輕量級的HIDS系統,低性能損失,使用LKM技術的HIDS工具。
https://github.com/DianrongSecurity/AgentSmith-HIDS
Sobek-Hids:一個基於python的HostIDS系統。
http://www.codeforge.cn/article/331327
Security Onion:免費開源網絡安全監控系統。
https://securityonion.net/
OpenWIPS-ng:一款開源的模塊化無線IPS(Intrusion Prevention System,入侵防禦系統)。
http://openwips-ng.org/
Moloch: 網絡流量收集與分析。
https://www.dictionary.com/browse/moloch
8、網絡流量分析
Zeek:一個功能強大的網絡分析框架。
https://www.zeek.org
Kismet:一種無線網絡和設備檢測器,嗅探器,驅動工具和WIDS(無線入侵檢測)框架。
https://www.kismetwireless.net/
9、SIEM/SOC
OSSIM:開源安全信息管理系統,它是一個開源安全信息和事件的管理系統,集成了一系列的能夠幫助管理員更好的進行計算機安全,入侵檢測和預防的工具。
https://www.alienvault.com/products/ossim
Apache Metron:一種網絡安全應用程序框架,使組織能夠檢測網絡異常並使組織能夠快速響應已識別的異常情況。
https://github.com/apache/metron
SIEMonster:以很小的成本監控整個網絡。
https://siemonster.com/
w3a_SOC:Web日誌審計與網絡監控集合一身的平臺。
https://github.com/smarttang/w3a_SOC
OpenSOC:致力於提供一個可擴展和可擴展的高級安全分析工具。
http://opensoc.github.io/
Prelude:一個結合了其他各種開源工具的SIEM框架。
https://www.prelude-siem.org/
MozDef:Mozilla防禦平臺,一套實時集成化平臺,能夠實現監控、反應、協作並改進相關保護功能。
https://github.com/jeffbryner/MozDef
10、企業雲盤
KodExplorer:可道雲,是基於Web技術的私有云在線文檔管理解決方案。
https://kodcloud.com/
Seafile:一款開源的企業雲盤,注重可靠性和性能。
https://www.seafile.com/home/
NextCloud:一款開源網絡硬盤系統。
https://nextcloud.com/
owncloud:一個基於Linux的開源雲項目。
https://owncloud.com/products/
iBarn:基於PHP的開源網盤。
http://www.godeye.org/code/ibarn
Cloudreve:以最低的成本快速搭建公私兼備的網盤系統。
http://cloudreve.org/
Filebrowser:一個基於GO的輕量級文件管理系統。
https://github.com/filebrowser/filebrowser/releases/latest
FileRun:一款強大的多功能網盤和文件管理器。
https://filerun.com/
kiftd:一款專門面向個人、團隊和小型組織的私有網盤系統。
https://github.com/KOHGYLW/kiftd
11、釣魚網站系統
HFish:一款基於 Golang 開發的跨平臺多功能主動誘導型蜜罐框架系統。
https://github.com/hacklcx/HFish
mail_fishing:基於thinkphp寫的一個內部釣魚網站系統。
https://github.com/SecurityPaper/mail_fishing
Gophish:開源釣魚工具包。
https://github.com/gophish/gophish
BLACKEYE:開源釣魚工具包。
https://github.com/thelinuxchoice/blackeye
phishing:甲方網絡釣魚的安全實踐。
https://github.com/p1r06u3/phishing
Phishing Frenzy:開源的釣魚測試工具。
https://www.phishingfrenzy.com/
King Phisher:一款專業的釣魚活動工具包。
https://github.com/rsmusllp/king-phisher/
12、蜜罐技術
T-Pot:多蜜罐平臺,可視化分析。
https://github.com/dtag-dev-sec/tpotce/
HFish:一種基於Golang開發的跨平臺多功能主動誘導型蜜罐框架系統。
https://github.com/hacklcx/HFish
opencanary_web:蜜罐的網絡管理平臺。
https://github.com/p1r06u3/opencanary_web
Honeyd:一個小型守護進程,可以在網絡上創建虛擬主機。
http://www.honeyd.org/
mhn:現代蜜罐網絡。
http://threatstream.github.io/mhn/
Glastopf:Python Web應用程序蜜罐。
https://github.com/mushorg/glastopf
Cowrie:一種中等交互式SSH和Telnet蜜罐,用於記錄暴力攻擊和攻擊者執行的shell交互。
https://github.com/cowrie/cowrie
Kippo:一箇中等交互式SSH蜜罐,用於記錄暴力攻擊,最重要的是,攻擊者執行的整個shell交互。
https://github.com/desaster/kippo
Dionaea:一個低交互的蜜罐,能夠模擬FTP/HTTP/MSSQL/MYSQL/SMB等服務。
https://github.com/DinoTools/dionaea
Conpot:一個ICS蜜罐,其目標是收集有關針對工業控制系統的敵人的動機和方法的情報。
https://github.com/mushorg/conpot
Wordpot:一個Wordpress蜜罐,可以檢測用於指紋wordpress安裝的插件,主題,timthumb和其他常用文件的探針。
https://github.com/gbrindisi/wordpot
elastichoney:一個簡單的Elasticsearch蜜罐。
https://github.com/jordan-wright/elastichoney
beeswarm:一個蜜罐項目,爲蜜罐的配置、部署和管理提供了便利。
https://github.com/honeynet/beeswarm
Shockpot:一個Web應用程序蜜罐,旨在找到試圖利用Bash遠程代碼漏洞的攻擊者,CVE-2014-6271。
https://github.com/threatstream/shockpot
13、安全運維
Scout:URL 監控系統。
https://github.com/HandsomeOne/Scout
OpenDnsdb:開源的基於Python語言的DNS管理系統 。
https://github.com/qunarcorp/open_dnsdb
cuckoo:一個自動化的動態惡意軟件分析系統。
https://github.com/cuckoosandbox/cuckoo
theZoo:一個惡意軟件分析項目。
https://github.com/ytisf/theZoo
OpenDLP:一個免費的,開源的,基於代理和無代理的,集中管理,可大規模分發的數據丟失防護工具。
https://code.google.com/archive/p/opendlp/
14、GitHub監控
GSIL:GitHub敏感信息泄漏工具。
https://github.com/FeeiCN/GSIL
Hawkeye:監控github代碼庫,及時發現員工託管公司代碼到GitHub行爲並預警,降低代碼泄露風險。
https://github.com/0xbug/Hawkeye
x-patrol:GitHub的泄露掃描系統—MiSecurity。
https://github.com/MiSecurity/x-patrol
Github-Monitor:用於監控Github代碼倉庫的系統。
https://github.com/VKSRC/Github-Monitor
gshark:輕鬆有效地掃描Github中的敏感信息。
https://github.com/neal1991/gshark
GitGuardian:實時掃描GitHub活動的解決方案。
https://www.gitguardian.com/
code6:碼小六 - GitHub 代碼泄露監控系統。
https://github.com/4x99/code6
15、風控系統
TH-Nebula:星雲風控系統是一套互聯網風控分析和檢測平臺。
https://github.com/threathunterX/nebula
Liudao:六道”實時業務風控系統。
https://github.com/ysrc/Liudao
陌陌風控系統:靜態規則引擎,零基礎簡易便捷的配置多種複雜規則,實時高效管控用戶異常行爲。
https://github.com/momosecurity/aswan
Drools:基於java的功能強大的開源規則引擎。
https://www.drools.org