11个开源安全工具在GitHub上着火

著名的信条“所有的bug都很浅”是开源开发的基石。在谈到开源模型的安全性优势时，开放代码能够更有效地检测项目中的bug，这一观点被称为李纳斯定律，通常是IT专业人士首先想到的。

现在，多亏了GitHub这样的流行代码共享网站，开源社区越来越多地帮助其他组织保护自己的代码和系统，为恶意软件分析、渗透测试、计算机取证等提供了丰富的安全工具和框架。

以下是GitHub上展示的11个重要的安全项目。任何对更安全的代码和系统感兴趣的管理员都应该检查它们。

在开源社区和安全公司Rapid7的推动下，Metasploit框架是一种用于渗透测试的开发和交付系统。它提供了一个利用库，通过在恶意攻击者发现弱点之前定位弱点，帮助评估应用程序的安全性。它可以用于测试Windows、Linux、Mac、Android、iOS等平台的软件。

Rapid7工程经理Tod Beardsley说:“Metasploit是安全研究人员用一种相当常见的格式来表达攻击的一种方式。”“我们有数千个模块，针对各种设备——普通电脑、电话、路由器、交换机、工业控制系统和嵌入式设备。Metasploit对任何一种软件或固件都是有用的。”

司闸员是一个Ruby on Rails应用程序的漏洞扫描器，它还提供数据流分析，跟踪程序从一个部分到另一个部分的值。根据Brakeman的作者和维护者Justin Collins的说法，使用该软件不需要建立一个完整的应用程序栈。

虽然速度不是特别快，但布拉克曼声称比“黑盒子”扫描仪要快，大型应用程序只需几分钟就能扫描。用户需要注意假阳性，尽管最近已经开发了帮助假阳性的修复程序。制动器应与网站安全扫描器一起使用。Collins没有计划将其扩展到其他平台，但鼓励开发人员查看代码。

布谷鸟沙箱是一个自动动态恶意软件分析系统，用于检查一个孤立环境中的可疑文件。

它的主要目的是在Windows虚拟机中自动执行和监控任何给定的恶意软件的行为。当执行完成后，布谷鸟将进一步分析收集到的数据，并产生一份全面的报告，解释恶意软件的能力，”项目创始人克劳迪奥瓜涅里说。

生成的数据包括本机函数和Windows API调用跟踪、创建和删除文件的副本以及分析机器的内存转储。可以定制处理和报告，结果报告可以以各种格式生成，包括JSON和HTML。Cuckoo Sandbox最初是2010年谷歌Summer of Code项目。

摩洛是一个可扩展的IPv4包捕获、索引和数据库系统，具有用于浏览、搜索和导出的简单Web界面。Iit的实现使用HTTPS和HTTP摘要密码支持或Apache在前面，并不是要取代IDS引擎。

该软件以标准PCAP格式存储和索引所有网络流量，可以跨许多系统部署，可伸缩到每秒多个千兆流量。组件包括捕获，具有单线程C应用程序，用户能够运行多个捕获进程每台机器;一个查看器，它是一个Node.js应用程序，用于Web界面和传输PCAP文件;和Elasticsearch数据库技术的搜索。

Mozilla防御平台，又名MozDef，旨在自动化安全事件处理过程，使防御者得到攻击者所拥有的:一个实时的、集成的平台来监控、反应、协作和提高他们的能力，据项目作者Jeff Bryner说。

MozDef将传统的SEIM(安全信息和事件管理)功能扩展到协同事件响应、可视化和易于集成到其他企业系统，Bryner说。它使用Elasticsearch、Meteor和MongoDB来收集各种数据并以任何合适的方式保存它们。“你可以把MozDef看作是一个在Elasticsearch之上的SIEM覆盖，它促进了安全事件响应工作流程，”Bryner说。这个项目始于2013年Mozilla的概念验证。

基于Etsy和Facebook安全团队的合作，迈达斯是一个用于构建Mac入侵检测分析系统的框架，又名MIDASes。模块化框架提供了帮助工具和一个示例模块，用于检测OS X持久性机制的修改。该项目是基于特色的概念家酿防御安全和Attack-Driven国防演示。

Etsy和Facebook安全团队在文档中写道:“我们发布这个框架的共同目标是促进在这个领域的更多讨论，并为组织提供一个起点来检测OS X端点，以检测常见的折衷和持久性模式。”MIDAS用户可以定义用于基于主机的检查、验证、分析等的模块。

的兄弟网络分析框架“确实不同于大多数人所认为的入侵检测，”Robin Sommer说，他是Bro的首席开发人员，也是加州大学伯克利分校国际计算机科学研究所的高级研究员。

虽然入侵检测系统通常与攻击模式相关联，但Bro实际上是一种编程语言，这使得它比典型的系统更强大，Sommer说，因为用户可以在非常高的语义级别上编写任务。

Bro查找攻击并提供上下文信息和使用模式。它提供了对网络上的机器的可见性，接入网络流量并查看网络数据包;它还为更一般的流量分析提供了一个平台。

OS X审计师是一个免费的计算机取证工具，可以解析和散列正在运行的系统上的工件或要分析的系统副本。工件可以包括内核扩展、系统和第三方代理和守护进程、一个已弃用的系统和第三方启动项、用户下载的文件和已安装的代理。用户被隔离的文件会与Safari历史记录、Firefox cookies、Chrome历史记录、社交和电子邮件帐户以及被审计系统的WiFi接入点一起被提取出来。

侦探工具包提供一个库和一组命令行工具，用于研究磁盘映像，包括卷和文件系统数据。该工具包提供了一个插件框架，使用户能够添加模块来分析文件内容和构建自动化系统。

为微软和Unix系统量身定制的Sleuth工具包让调查人员在事件响应或实时系统期间从图像识别和恢复证据。在侦察工具和其他工具之上作为UI的是尸检，一个数字取证平台。“尸检更以用户为导向，”The Sleuth Kit和尸检的创始人布赖恩•卡里尔(Brian Carrier)表示。“侦察套件更像是一个图书馆，人们把它整合到自己的工具中，但用户不会直接使用。”

的基于主机的入侵检测系统在各种系统(包括Linux、Mac OS、Solaris、AIX和Windows)上执行日志分析、文件完整性检查、策略监视、警报和主动响应。

OSSEC帮助组织满足法规遵循要求，包括PCI和HIPAA，它可以被配置为在检测到未授权的文件系统修改和嵌入在软件和自定义应用程序日志文件中的恶意行为时发送警报。集中管理服务器管理跨多个操作系统的策略。OSSEC由趋势科技支持。

PassiveDNS以被动方式收集DNS记录，以帮助事件处理、网络安全监控和数字取证。该软件可以被配置为读取pcap(包捕获)文件并将DNS数据输出到日志文件或嗅探接口的流量。

该工具工作在IPv4和IPv6流量，解析流量在TCP和UDP上，它缓存重复的DNS数据在内存中限制数据记录的数量而不损害取证。

•年度十大新开源项目

•2013年Bossie大奖:最佳开源应用程序

•2013年Bossie奖:最佳开源桌面和移动软件

•2013年Bossie大奖:最佳开源管理工具

•2013年Bossie大奖:最佳开源数据中心和云软件雷竞技电脑网站

•GitHub十大摇滚明星项目