Оценка уязвимостей — это методичное исследование сетевой инфраструктуры, компьютерных систем и программного обеспечения с целью выявления и устранения известных недостатков безопасности. Как только уязвимости точно определены, они классифицируются в зависимости от степени важности их скорейшего устранения. Обычно инструмент для сканирования уязвимостей также предоставляет инструкции по устранению или смягчению последствий обнаруженных недостатков.
Команды безопасности могут использовать результаты оценки уязвимостей, чтобы лучше понять уровень безопасности своей сети и принять защитные меры.
Все перечисленные ниже инструменты оценки уязвимостей с открытым исходным кодом можно скачать и использовать бесплатно.
Aqua Trivy
Aqua Trivy – инструмент с открытым исходным кодом, который обнаруживает уязвимости и предоставляет объяснение риска, благодаря чему разработчики могут решить, какие компоненты следует использовать в своих приложениях и контейнерах.
Clair
Clair — проект с открытым исходным кодом для статического анализа уязвимостей в контейнерах приложений (в настоящее время включает OCI и docker). С помощью API Clair пользователи индексируют свои образы контейнеров и затем сопоставляют их с известными уязвимостями.
Tsunami
Tsunami – сканер сетевой безопасности общего назначения с расширяемой системой плагинов для обнаружения уязвимостей высокой степени серьезности с максимальной достоверностью.
Vaf
Vaf – кроссплатформенный веб-фаззер с такими функциями, как: быстрая обработка потоков, фаззирование HTTP-заголовков и проксирование.
Zed Attack Proxy
Zed Attack Proxy (ZAP) – бесплатный инструмент тестирования на проникновение с открытым исходным кодом, который поддерживается под эгидой OWASP. ZAP разработан специально для тестирования веб-приложений и является одновременно гибким и расширяемым. Его можно запустить даже на raspberry pi.
Источник: SecurityLab