作為開源開發(fā)領(lǐng)域的基石，“所有漏洞皆屬淺表”已經(jīng)成為一條著名的原則甚至是信條。作為廣為人知的Linus定律，當討論開源模式在安全方面的優(yōu)勢時，開放代碼能夠提高項目漏洞檢測效率的理論也被IT專業(yè)人士們所普遍接受。

惡意軟件分析、滲透測試、計算機取證——GitHub托管著一系列引人注目的安全工具、足以應(yīng)對各類規(guī)模下計算環(huán)境的實際需求。

GitHub上的十一款熱門開源安全工具

作為開源開發(fā)領(lǐng)域的基石，“所有漏洞皆屬淺表”已經(jīng)成為一條著名的原則甚至是信條。作為廣為人知的Linus定律，當討論開源模式在安全方面的優(yōu)勢時，開放代碼能夠提高項目漏洞檢測效率的理論也被IT專業(yè)人士們所普遍接受。

現(xiàn)在，隨著GitHub等高人氣代碼共享站點的相繼涌現(xiàn)，整個開源行業(yè)開始越來越多地幫助其它企業(yè)保護自己的代碼與系統(tǒng)，并為其提供多種多樣的安全工具與框架，旨在完成惡意軟件分析、滲透測試、計算機取證以及其它同類任務(wù)。

以下十一個基本安全項目全部立足于GitHub。任何一位對安全代碼及系統(tǒng)抱有興趣的管理員都有必要對它們加以關(guān)注。

Metasploit框架

作為由開源社區(qū)及安全企業(yè)Rapid7一手推動的項目，Metasploit框架是一套專門用于滲透測試的漏洞開發(fā)與交付系統(tǒng)。它的作用類似于一套漏洞庫，能夠幫助管理人員通過定位弱點實現(xiàn)應(yīng)用程序的安全性評估，并在攻擊者發(fā)現(xiàn)這些弱點之前采取補救措施。它能夠被用于對Windows、Linux、Mac、Android、iOS以及其它多種系統(tǒng)平臺進行測試。

“Metasploit為安全研究人員提供了一種途徑，能夠以相對普遍的格式對安全漏洞加以表達，”Rapid7公司工程技術(shù)經(jīng)理Tod Beardsley指出?！拔覀冡槍θ吭O(shè)備類型打造出數(shù)千種模塊——包括普通計算機、手機、路由器、交換機、工業(yè)控制系統(tǒng)以及嵌入式設(shè)備。我?guī)缀跸氩怀鲇心姆N軟件或者固件無法發(fā)揮Metasploit的出色實用性?！?/p>

項目鏈接：https://github.com/rapid7/metasploit-framework

Brakeman

Brakeman是一款專門面向Ruby on Rails應(yīng)用程序的漏洞掃描工具，同時也針對程序中一部分數(shù)值向另一部分傳遞的流程執(zhí)行數(shù)據(jù)流分析。用戶無需安裝整套應(yīng)用程序堆棧即可使用該軟件，Brakeman締造者兼維護者Justin Collins解釋道。

盡管速度表現(xiàn)還稱不上無與倫比，但Brakeman在大型應(yīng)用程序掃描方面只需數(shù)分鐘、這樣的成績已經(jīng)超越了“黑盒”掃描工具。雖然最近已經(jīng)有針對性地作出了修復(fù)，但用戶在使用Brakeman時仍然需要留意誤報狀況。Brakeman應(yīng)該被用于充當網(wǎng)站安全掃描工具。Collins目前還沒有將其拓展至其它平臺的計劃，不過他鼓勵其他開發(fā)人員對項目代碼作出改進。

項目鏈接：https://github.com/presidentbeef/brakeman

Cuckoo Sandbox

Cuckoo Sandbox是一款自動化動態(tài)惡意軟件分析系統(tǒng)，專門用于檢查孤立環(huán)境當中的可疑文件。

“這套解決方案的主要目的是在啟動于Windows虛擬機環(huán)境下之后，自動執(zhí)行并監(jiān)控任何給定惡意軟件的異?；顒?。當執(zhí)行流程結(jié)束之后，Cuckoo會進一步分析收集到的數(shù)據(jù)并生成一份綜合性報告，用于解釋惡意軟件的具體破壞能力，”項目創(chuàng)始人Claudio Guarnieri表示。

Cuckoo所造成的數(shù)據(jù)包括本地功能與Windows API調(diào)用追蹤、被創(chuàng)建及被刪除的文件副本以及分析機內(nèi)存轉(zhuǎn)儲數(shù)據(jù)。用戶可以對該項目的處理與報告機制進行定制，從而將報告內(nèi)容生成為不同格式，包括JSON與HTML。Cuckoo Sandbox已經(jīng)于2010年開始成為谷歌代碼之夏中的項目之一。

項目鏈接：https://github.com/cuckoobox/cuckoo

?

Moloch

Moloch是一套可擴展式IPv4數(shù)據(jù)包捕捉、索引與數(shù)據(jù)庫系統(tǒng)，能夠作為簡單的Web界面實現(xiàn)瀏覽、搜索與導(dǎo)出功能。它借助HTTPS與HTTP機制實現(xiàn)密碼支持或者前端Apahce能力，而且無需取代原有IDS引擎。

該軟件能夠存儲并檢索標準PCAP格式下的所有網(wǎng)絡(luò)流量，并能夠被部署到多種系統(tǒng)之上、每秒流量處理能力也可擴展至數(shù)GB水平。項目組件包括捕捉、執(zhí)行單線程C語言應(yīng)用程序、用戶也可以在每臺設(shè)備上運行多個捕捉進程;一套查看器，這實際是款Node.js應(yīng)用程序、針對Web接口以及PCAP文件傳輸;而Elasticsearch數(shù)據(jù)庫技術(shù)則負責搜索類任務(wù)。

項目鏈接：https://github.com/aol/moloch

?

MozDef: Mozilla防御平臺

這款Mozilla防御平臺，也就是MozDef，旨在以自動化方式處理安全事件流程，從而為防御者帶來與攻擊者相對等的能力：一套實時集成化平臺，能夠?qū)崿F(xiàn)監(jiān)控、反應(yīng)、協(xié)作并改進相關(guān)保護功能，該項目締造者Jeff Bryner解釋稱。

MozDef對傳統(tǒng)SEIM（即安全信息與事件管理）功能作出擴展，使其具備了協(xié)同事件響應(yīng)、可視化以及易于集成至其它企業(yè)級系統(tǒng)的能力，Bryner指出。它采用Elasticsearch、Meteor以及MongoDB收集大量不同類型的數(shù)據(jù)，并能夠根據(jù)用戶需求以任意方式加以保存?！按蠹铱梢詫ozDef視為一套立足于Elasticsearch之上的SIEM層，能夠帶來安全事件響應(yīng)任務(wù)流程，”Bryner表示。該項目于2013年在Mozilla公司內(nèi)部開始進行概念驗證。

項目鏈接：https://github.com/jeffbryner/MozDef

?

MIDAS

作為由Etsy與Facebook雙方安全團隊協(xié)作打造的產(chǎn)物，MIDAS是一套專門針對Mac設(shè)備的入侵檢測分析系統(tǒng)框架（即Mac intrusion detection analysis systems，縮寫為MIDASes）。這套模塊框架提供輔助工具及示例模型，能夠?qū)S X系統(tǒng)駐留機制中出現(xiàn)的修改活動進行檢測。該項目基于《自制防御安全》與《攻擊驅(qū)動防御》兩份報告所闡述的相關(guān)概念。

“我們發(fā)布這套框架的共同目標在于促進這一領(lǐng)域的探討熱情，并為企業(yè)用戶提供解決方案雛形、從而對OS X終端當中常見的漏洞利用與駐留模式加以檢測，”Etsy與Facebook雙方安全團隊在一份說明文檔中指出。MIDAS用戶能夠?qū)δK的主機檢查、驗證、分析以及其它針對性操作進行定義。

項目鏈接：https://github.com/etsy/MIDAS

?

Bro

Bro網(wǎng)絡(luò)分析框架“與大多數(shù)人所熟知的入侵檢測機制存在著本質(zhì)區(qū)別，”Bro項目首席開發(fā)者兼加州伯克利大學國際計算機科學協(xié)會高級研究員Robin Sommer指出。

盡管入侵檢測系統(tǒng)通常能夠切實匹配當前存在的各類攻擊模式，但Bro是一種真正的編程語言，這使其相較于那些典型系統(tǒng)更為強大，Sommer表示。它能夠幫助用戶立足于高語義層級執(zhí)行任務(wù)規(guī)劃。

Bro的目標在于搜尋攻擊活動并提供其背景信息與使用模式。它能夠?qū)⒕W(wǎng)絡(luò)中的各設(shè)備整理為可視化圖形、深入網(wǎng)絡(luò)流量當中并檢查網(wǎng)絡(luò)數(shù)據(jù)包;它還提供一套更具通用性的流量分析平臺。

項目鏈接：https://github.com/bro/bro

?

OS X Auditor

OS X Auditor是一款免費計算機取證工具，能夠?qū)\行系統(tǒng)之上或者需要分析的目標系統(tǒng)副本當中的偽跡進行解析與散列處理。包括內(nèi)核擴展、系統(tǒng)與第三方代理及后臺程序、不適用的系統(tǒng)以及第三方啟動項、用戶下載文件外中已安裝代理。用戶的受隔離文件則可以提取自Safari歷史記錄、火狐瀏覽器cookies、Chrome歷史記錄、社交與郵件賬戶以及受審計系統(tǒng)中的Wi-Fi訪問點。

項目鏈接：https://github.com/jipegit/OSXAuditor

?

The Sleuth Kit

The Sleuth Kit是一套庫與多種命令行工具集合，旨在調(diào)查磁盤鏡像，包括各分卷與文件系統(tǒng)數(shù)據(jù)。該套件還提供一款插件框架，允許用戶添加更多模塊以分析文件內(nèi)容并建立自動化系統(tǒng)。

作為針對微軟及Unix系統(tǒng)的工具組合，Sleuth Kit允許調(diào)查人員從鏡像當中識別并恢復(fù)出事件響應(yīng)過程中或者自生系統(tǒng)內(nèi)的各類證據(jù)。在Sleuth Kit及其它工具之上充當用戶界面方案的是Autopsy，這是一套數(shù)字化取證平臺?！癆utopsy更側(cè)重于面向用戶，”Sleuth Kit與Autopsy締造者Brian Carrier指出?！癟he Sleuth Kit更像是一整套能夠為大家納入自有工具的庫，只不過用戶無需對該訓加以直接使用?！?/p>

項目鏈接：https://github.com/sleuthkit/sleuthkit

?

OSSEC

基于主機的入侵檢測系統(tǒng)OSSEC能夠?qū)崿F(xiàn)日志分析、文件完整性檢查、監(jiān)控以及報警等功能，而且能夠順利與各種常見操作系統(tǒng)相對接，包括Linux、Mac OS X、Solaris、AIX以及Windows。

OSSEC旨在幫助企業(yè)用戶滿足合規(guī)性方面的各類要求，包括PCI與HIPAA，而且能夠通過配置在其檢測到未經(jīng)授權(quán)的文件系統(tǒng)修改或者嵌入至軟件及定制應(yīng)用日志文件的惡意活動時發(fā)出警報。一臺中央管理服務(wù)器負責執(zhí)行不同操作系統(tǒng)之間的策略管理任務(wù)。OSSEC項目由Trend Micro公司提供支持。

項目鏈接：https://github.com/ossec/ossec-hids

?

PassiveDNS

PassiveDNS能夠以被動方式收集DNS記錄，從而實現(xiàn)事故處理輔助、網(wǎng)絡(luò)安全監(jiān)控以及數(shù)字取證等功能。該軟件能夠通過配置讀取pcap（即數(shù)據(jù)包捕捉）文件并將DNS數(shù)據(jù)輸出為日志文件或者提取來自特定接口的數(shù)據(jù)流量。

這款工具能夠作用于IPv4與IPv6流量、在TCP與UDP基礎(chǔ)上實現(xiàn)流量解析并通過緩存內(nèi)存內(nèi)DNS數(shù)據(jù)副本的方式在限制記錄數(shù)據(jù)量的同時避免給取證工作帶來任何負面影響。

項目鏈接：https://github.com/gamelinux/passivedns