5个开源安全工具太好了，不容忽视

开源是一件美妙的事情。当今企业IT和个人技术的很大一部分依赖于开源软件。但是，即使开源软件广泛应用于网络、操作系统和虚拟化，企业安全平台仍然倾向于私有化和供应商锁定。幸运的是，这种情况正在改变。

如果您没有寻求开源来帮助解决您的安全需求，那么很遗憾您错过了越来越多的免费工具来保护您的网络、主机和数据。最棒的是，这些工具中的许多都来自由您可以信任的知名来源支持的活动项目，例如领先的安全公司和主要的云运营商。很多都是在你能想象到的最大和最具挑战性的环境中测试过的。

开源一直是一个丰富的安全工具的源专业人士而设变质岩，开源渗透测试框架，也许是最有名的，但是信息安全并不局限于研究人员、调查人员和分析人员的领域，我们在下面调查的五种开源安全工具也不例外。IT管理员和软件开发人员可以发挥关键作用，使用这五种工具，他们可以有所作为。

提交观察者：检查代码repos中的机密

秘密不属于开源存储库，但这并不能阻止心不在焉的开发人员将它们存储在那里。我们都读过这样的报告：有人不小心暴露了私有的Amazon Web服务密钥、硬编码密码或API令牌上传到GitHub或者其他代码仓库。

为了解决这个问题，SourceClear想出了提交监视程序，这是一个免费的开源工具，可以在公共和私有Git存储库中查找潜在的危险提交。开发人员和管理员都可以使用Commit Watcher来监控他们自己的项目是否有意外的凭证泄漏，以及他们经常使用的公共项目，以查明这些项目中是否存在任何问题。例如，当一个公共项目通过提交（如“修复XSS攻击”）进行更新时，提交观察程序将通知使用它的开发人员获取新版本的依赖项。

提交观察程序定期轮询项目以获取新的提交，并根据项目规则中定义的任何关键字和短语查找匹配项。规则包括文件名、代码模式、注释和作者姓名的正则表达式。Commit Watcher附带了许多预配置的规则，用于查找AWS凭据、Salesforce凭据、SSH密钥、API令牌和数据库转储文件。

Jak:用Git加密你的秘密

这是开发者101保守秘密你的代码。相反，你应该让他们在一个配置文件，然后将配置文件添加到列表中的.gitignore以防止它被提交到代码库。键连接到像支付系统，电子邮件收件人和虚拟机，其具有直接被手动放置到应用程序服务器的物品，必须从源代码完全分开管理。当这些密钥需要共享此提出了挑战。

这是一个非常常见的场景：团队中的一个成员从代码存储库下载源代码，并通过带外方法接收密钥，这种方法可能与纯文本电子邮件、聊天信息、USB记忆棒或便签一样快速和松散。如果有一种方法可以将这些秘密与存储库中的源代码一起保存，以便它们易于共享，但经过加密后不会被公开，那会怎么样？

该Python项目JAK铲球这个问题，通过让开发人员提交加密的敏感文件的版本到Git的方法。取而代之的.gitignore的，开发商列出一个jakfile敏感文件，当它的时间来提交，JAK确保只有文件的加密版本在仓库中拉闸。JAK负责加密和解密文件作为必要的，它会自动生成并更新加密密钥。一切都在命令行处理，所以开发者不必更改Windows时，它的时间来提交前一个加密文件或下载后解密文件。

这可能是对的Jak太早在生产中使用，但它是一个工具，开发人员应该熟悉。该安全启动驱散内部使用的工具，是该项目的管家可以帮助有关该工具的潜在寿命缓解忧虑的事实。

亚拉：使用模式匹配查找的麻烦

恶意软件研究人员喜欢使用雅拉从VirusTotal的维克托曼努阿尔瓦雷斯的开源项目，以识别和恶意文件样本进行分类。然而，“模式匹配瑞士军刀”能做的远不止直接的恶意软件类型。它也可以作为事件响应和取证调查的一部分是有用的。您可以创建规则组成的文本字符串，十六进制值，或常规的表达和亚拉通过抓取可疑的目录和文件寻找任何比赛。在扫描文件是最常见的用法，亚拉还可以使用规则来检查正在运行的进程。

通过分析与雅拉的文件，卡巴斯基实验室和AlienVault的研究人员能够将去年攻破索尼的攻击者与亚洲的其他攻击联系起来。

一种常见的攻击技术是用冒名顶替者替换系统文件，从而在机器中建立后门。监视系统文件是否完整的一种方法是查看MD5和SHA-1散列。另一种方法是为系统文件中的多个字符串或值设置Yara规则，并定期扫描这些文件。如果扫描找不到匹配项，您就知道文件已经过了修改的时间。如果攻击者将命令shell的副本上载到未知位置，Yara可以查找这些副本。

除了预先配置的规则和您创建的规则外，Yara还可以使用开源反病毒工具ClamAV的病毒特征文件以及维护的社区中可用的规则集雅鲁士仓库. 例如，存储库具有用于检测已知打包程序或标记恶意进程的预定义规则。当环境中扫描的文件与已上载到VirusTotal恶意软件数据库的文件匹配时，也可以点击VirusTotal私有API来设置触发器。Yara不必从命令行界面运行；它有一个Python库来将其集成到Python脚本中。

Yara能够在不受欢迎的地方（如发送的电子邮件附件）发现文件的不受欢迎的更改或检测信号模式（社会保险号、管理凭据等），是一个功能强大的工具，似乎有着无尽的用途。基于签名的检测是有限制的，所以只依赖Yara来查找恶意文件是个坏主意。但考虑到它的灵活性，错过这个工具也不是一个好主意。

ProcFilter：使用模式匹配来停止故障

亚拉是超级有用的取证调查和事件响应谁想要一个感染后，分析文件。然而，利用亚拉积极抵御已知威胁可能是一个挑战。预滤器，一个来自GoDaddy的开源项目，解决了Windows环境的这一难题。ProcFilter允许您将Yara规则应用于正在运行的进程，以及基于匹配的块或日志可执行文件（以及隔离关联文件）。

ProcFilter作为Windows服务运行，并与Microsoft的Windows事件跟踪（ETW）API集成，因此它可以将其活动直接记录到Windows事件日志中。集成还意味着ProcFilter可以创建具有block、log或quantinate值的规则，并在匹配时采取适当的操作。ProcFilter可以配置为在创建或终止进程或加载可执行映像时扫描文件和内存。

ProcFilter不是用来替换反恶意软件解决方案的，而是用来帮助您瞄准特定的已知威胁，例如攻击对等组织的网络钓鱼攻击。如果那里的团队共享攻击的Yara签名以帮助其他人避免相同的命运，则可以使用ProcFilter在传入的电子邮件中查找匹配项，并阻止这些邮件被传递。或者，如果您想密切关注被booby捕获的Word、Excel、PowerPoint和Adobe文件，ProcFilter可以查找并记录这些应用程序生成的所有子进程。

OSquery：查询系统状态的端点

想象一下，如果在Windows、MacOS和Linux端点中查找恶意进程、恶意插件或软件漏洞只是编写SQL查询的一个简单问题。这就是背后的想法OSquery公司从收集操作系统的信息，如正在运行的进程，已加载的内核模块，打开网络连接，浏览器插件，硬件事件和文件哈希到关系型数据库的Facebook工程师的开源工具。如果你能写一个SQL查询，这就是你需要得到的答案安全问题的，无需任何复杂的代码。

例如，以下查询将找到侦听网络端口的所有进程：

选择非重复进程名称, 监听端口, 收听地址, 进程.pid从进程作为进程连接侦听端口作为侦听进程.pid= 监听.pid;

该查询会发现在地址解析协议（ARP）缓存，它包含IP地址及其解决以太网的物理地址信息异常：

选择address，mac，COUNT（mac）作为arp_cache GROUP BY mac HAVING COUNT（mac）>1的mac_计数；

这比用Python编写要简单得多。OSquery以一种简单而优雅的方式解决了一个重要的问题（获得了年度技术奖). 这些组件包括可与PowerShell一起使用的交互式shell OSqueryi和执行低级主机监视并允许您安排查询的守护程序OSqueryd。

IT管理员不使用开源安全工具的原因有很多，包括对成熟度和支持的担忧。更关键的是信任问题。企业可能不愿意依赖他们一无所知的开发商的产品来保护他们的王冠。

这个列表中的开源安全项目都有可信的名字作为后盾，它们肯定会引起你的注意。这些工具都解决了一个特定的安全问题，并且留下了有限的空间。试一试也没什么坏处。它们可能会对你的工作方式和环境安全产生重大影响。

这篇文章“5个开源安全工具太好了，不容忽视”最初由据美国媒体 .