AST
AST: Application Security Testing, 静态应用程序安全测试, 对应用程序源代码执行直接的白盒分析.
SAST
SAST: Static Application Security Testing
Tools: SonarQube, Trivy, Coverity.
gitlab SAST report. gitlab secret detection report.
trivy
https://github.com/aquasecurity/trivy
Trivy是一个开源的安全扫描工具,支持容器镜像、文件系统和Git仓库的漏洞扫描。
trivy image <image>
trivy fs <path>
trivy repo <repo>
Coverity
Coverity是一个商业的静态代码分析工具,主要用于发现代码中的缺陷和安全漏洞。
cov-init
cov-build
cov-analyze
DAST
DAST: Dynamic Application Security Testing,动态应用程序安全测试, 对应用程序进行黑盒分析.
Tools:
ZAP Scan(OWASP ZAP)
synopsys WhiteHat Sentinel.
gitlab DAST report.
IAST
IAST: Interactive Application Security Testing,交互式应用程序安全测试, 结合了SAST和DAST的优点.
SCA
SCA: Software Composition Analysis.
SBOM (software Bill of Materials),开源组件安全扫描.
Tools: BlackDuck, Jfrog Xray.
gitlab dependency scanning report.
Blackduck
https://www.blackducksoftware.com/
Blackduck是一个商业的开源组件安全扫描工具,主要用于发现开源组件中的漏洞和许可证问题。
detect.sh ......