AST

AST

AST: Application Security Testing, 静态应用程序安全测试, 对应用程序源代码执行直接的白盒分析.


SAST

SAST: Static Application Security Testing

Tools: SonarQube, Trivy, Coverity.

gitlab SAST report. gitlab secret detection report.

trivy

https://github.com/aquasecurity/trivy

Trivy是一个开源的安全扫描工具,支持容器镜像、文件系统和Git仓库的漏洞扫描。

trivy image <image>
trivy fs <path>
trivy repo <repo>

Coverity

https://scan.coverity.com/

Coverity是一个商业的静态代码分析工具,主要用于发现代码中的缺陷和安全漏洞。

cov-init
cov-build
cov-analyze

DAST

DAST: Dynamic Application Security Testing,动态应用程序安全测试, 对应用程序进行黑盒分析.

Tools:

ZAP Scan(OWASP ZAP)

synopsys WhiteHat Sentinel.

gitlab DAST report.


IAST

IAST: Interactive Application Security Testing,交互式应用程序安全测试, 结合了SAST和DAST的优点.


SCA

SCA: Software Composition Analysis.

SBOM (software Bill of Materials),开源组件安全扫描.

Tools: BlackDuck, Jfrog Xray.

gitlab dependency scanning report.

Blackduck

https://www.blackducksoftware.com/

Blackduck是一个商业的开源组件安全扫描工具,主要用于发现开源组件中的漏洞和许可证问题。

detect.sh ......
Designed by Canux