所謂“左移開發安全”就是在開發流程中的所有階段都考慮到安全性問題，研發人員承擔更多的軟件安全責任。很多研發會認為考慮軟件的安全性會給他們徒增更多工作量，但實際上安全能力是研發工作中錦上添花的東西，比如可以幫他們節約大量修復bug的時間。

靠單個產品修復所有的應用安全漏洞幾乎不可能。開發安全需要在開發各個階段實施不同的防御措施，層層遞進地去實現。

開發安全類工具一般包括：

SAST - 靜態應用安全測試 DAST - 動態應用安全測試 IAST - 交互式應用安全測試 RASP - 運行時應用自我保護 依賴項安全掃描 Secrets Detection(機密信息檢測)

盡早修復漏洞確實更加容易，成本也更低，但在開發早期階段發現所有漏洞也不太可能。安全應貫穿軟件開發生命周期的整個過程。

縱軸：修復成本;橫軸：軟件開發生命周期

SAST

靜態應用安全測試，也稱為“白盒測試”，通過掃描源代碼發現代碼中的已知漏洞，是最常見也是最早出現的自動化應用安全測試。市場上的SAST工具非常多。確定使用某個工具前，需要評估工具的支持和維護情況以及是否適配自身的技術棧。這里推薦一些免費的SAST工具。

1. NodeJsScan

NodeJs Scan有一個命令行接口，可輕松與DevSecOps CI/CD管道集成，并以JSON格式生成掃描結果。每種語言都有一個配置文件，可以根據自定義檢索進行修改。文件總覽和整個代碼庫都可以通過統計數據和餅圖做到可視化。它還可以檢測緩沖區溢出漏洞和針對Java的十大OWASP漏洞。

2. SonarQube

SonarQube被譽為是“最好用的免費自動化代碼審計工具之一”，具備上千種自動化靜態代碼分析規則，且支持27種開發語言，能夠很好地覆蓋整個開發項目的發展。

DAST

DAST，動態應用安全測試，也被稱為“黑盒測試”，不像SAST那樣從源代碼中發現漏洞，而是在應用運行時，通過注入故障的方式進行安全測試。DAST可以發現SQL注入、跨站腳本等常見的安全漏洞，識別應用程序運行時的安全風險，如身份驗證和服務器配置問題，以及只有在已知用戶登錄時才有可能發現的安全問題。

3. OWASP ZAP

OWASP ZAP是一個功能非常全面的開源DAST工具，不但能夠自動進行漏掃，還能協助測試人員完成web應用的滲透 測試。ZAP的漏洞庫也非常豐富。

IAST

IAST，交互式應用安全測試，有時也稱為“灰盒測試”，是一種綜合了SAST和DAST的檢測技術，一般會在測試環境中以agent的形式(例如針對Java虛擬機或.NET CLR的插樁技術)監測運營與攻擊情況，從而發現風險點。

4. Contrast Security - Community

Contrast也是一個聲稱“開發者至上”的產品，能更深入地發現漏洞。應用程序運行時的上下文信息對于其它的SAST和DAST工具完全是盲區，如控制器、業務邏輯、數據層、視圖，用戶庫，開源組件和應用程序服務器。

RASP

RASP，運行時應用程序自我保護，一般部署在某個服務器上，當應用運行時即開始工作，能夠實時發現目標應用中的攻擊活動。應用程序一旦開始運行，RASP就會分析應用的行為和上下文信息，防止惡意輸入或惡意行為的發生。通過對應用行為的持續監控，不用人為干預就可以發現攻擊活動并且做到及時修復。

5. Sqreen

Sqreen的RASP可通過請求的完整執行上下文信息來發現應用上線后的漏洞利用和攻擊活動，覆蓋OWASP十大安全漏洞，如SQL注入、XSS和SSRF等。它的強大之處在于能夠根據請求的執行邏輯進行攻擊攔截，比其它解決方案的誤報率低得多。Sqreen還能自動適配不同的應用程序技術棧，無需重新部署或配置。

依賴項安全掃描

依賴項安全掃描(Dependency Scanning)能夠在應用程序開發和測試時檢測依賴項的安全漏洞，例如正在使用的外部(開源)依賴庫是否存在風險。

6. Snyk

據說Snyk也是一個開發者之上的企業，為開發人員提供一些開源的解決方案。Snyk自帶很多比較好的功能，比如能在IDE中檢測漏洞，掃描本地git測試存儲庫中的項目等等。Snyk有一個能夠防止新漏洞通過構建過程進入開發環境的安全網關，還有一個用于測試運行環境中是否存在暴露風險點的生產環境。

7. WhiteSource Bolt for GitHub

Whitesource和Snyk一樣有一些面向開發人員的免費工具。WhiteSource Bolt for GitHub是一款免費的應用，能夠持續掃描自有和公開的存儲庫，檢測開源組件中的漏洞并提供修復建議，支持200多種編程語言，能夠像美國國家安全漏洞庫NVD一樣持續跟蹤多個開源漏洞庫。

Secrets Detection(機密信息檢測)

API密鑰、數據庫憑證和安全證書等是一個組織的機密信息(secrets)，拿到這些東西就能訪問很多敏感系統。因此需要secrets detection這樣的技術加以保護。secrets detection可掃描源代碼、日志等文件，發現其中隱藏的機密。這是一項技術要求較高的專業服務，因為大多數機密都是以隨機字符串的形式存儲，而且很多隨機字符串都不是機密信息，因此需要通過分類算法，才能以較高的準確度檢測到機密信息。

很多人可能會把secrets detection和SAST搞混，因為兩者都是掃描源碼的技術。但SAST只掃描目標應用的當前版本，而secrets detection檢測的是該項目的所有開發版本。像git這樣的版本控制系統會對項目的所有變更信息進行跟蹤和存儲。如果源碼的上一個版本含有硬編碼的機密信息，卻在后面的階段被刪除了，代碼審計和SAST工具就無法發現這個問題，遺留在git存儲庫中容易遭到惡意利用。所以secrets detection成為了一個獨立的分類。

8. GitGuardian

GitGuardian可通過掃描開發人員存儲庫，持續發現機密信息，涵蓋300多種不同類型的機密類型，從密鑰到數據庫連接字符串、SSL證書、用戶名和密碼，通過復雜的模型匹配等多種算法技術進行檢測。GitGuardian可以與GitHub帳戶實現集成，幾分鐘即可完成配置。開發人員可以通過GitGuardian API檢測目錄、郵件客戶端或Slack channel等服務中的機密信息。

總結

眼花繚亂的解決方案容易讓人選擇困難，一個重要標準就是思考這個工具是否能夠適配當前的工作流程。

上述的開源工具都只能提供最基本的保護，實際運營過程中還是需要更多功能更加豐富的商業軟件和方案。確保應用的安全是開發人員中最有價值的技能之一，雖然將安全性“左移”看起來是一項艱巨的任務，但在整個開發生命周期中融合安全測試系統肯