5个让人难以忽视的开源安全工具

开源是一个很好的东西。当今企业IT和个人技术的很大一部分依赖于开源软件。但是，即使开放源码软件在网络、操作系统和虚拟化中广泛使用，企业安全平台仍然趋向于专有和供应商锁定。幸运的是,这正在改变。

如果你没有一直在寻找开源，帮助解决您的安全需求，这是一个耻辱 - 你对越来越多的免费工具错过了为保护您的网络，主机和数据。最好的部分是，许多这些工具是由来自著名的来源，你可以信任的，如领先的安全公司和各大运营商的云备份活动项目。许多人在你所能想象的最大的和最具挑战性的环境中进行测试。

开源一直是一个丰富的安全工具的源专业人士而设Metasploit的，开源渗透测试框架，也许是最知名的，但信息安全不仅限于研究人员，研究人员，分析师的境界，也不是我们在下面调查的五个开源安全工具。IT管​​理员和软件开发人员必须发挥关键作用，并与这五大工具，他们可以有所作为。

提交监视者:检查代码回购的秘密

秘密不属于开放源码存储库，但这并不能阻止心不在焉的开发人员将它们存储在那里。我们都读过这样的报告，有人意外地暴露了私有的Amazon Web Services密钥、硬编码的密码或API令牌上传到GitHub或其它代码库。

为了解决这个问题，SourceClear想出了提交守望者，这是一个免费的开源工具，用于查找公共和私有Git存储库中潜在的危险提交。开发人员和管理员都可以使用Commit Watcher来监视自己的项目，以防止意外的凭证泄露，也可以使用公共项目来检查这些项目中是否存在任何问题。例如，当使用提交(如“修复XSS攻击”)更新公共项目时，提交监视程序将通知与之合作的开发人员获取依赖项的新版本。

Commit Watcher定期轮询项目以获得新的提交，并根据项目规则中定义的任何关键字和短语查找匹配项。这些规则包括用于文件名、代码模式、注释和作者姓名的正则表达式。Commit Watcher附带几十条预先配置的规则，用于查找AWS凭据、Salesforce凭据、SSH密钥、API令牌和数据库转储文件。

JAK：加密在Git中你的秘密

这是开发者101保守秘密你的代码。相反，你应该让他们在一个配置文件，然后将配置文件添加到列表中的.gitignore以防止它被提交到代码库。键连接到像支付系统，电子邮件收件人和虚拟机，其具有直接被手动放置到应用程序服务器的物品，必须从源代码完全分开管理。当这些密钥需要共享此提出了挑战。

这是一种非常常见的场景:团队的一名成员从代码存储库下载源代码，并通过带外方法接收密钥，这种方法可能像纯文本电子邮件、聊天消息、u盘或便利贴一样快速和松散。如果有一种方法可以将这些秘密与存储库中的源代码一起保存，从而使它们易于共享，但又经过加密而不会暴露，那该怎么办呢?

该Python项目JAK铲球这个问题，通过让开发人员提交加密的敏感文件的版本到Git的方法。取而代之的.gitignore的，开发商列出一个jakfile敏感文件，当它的时间来提交，JAK确保只有文件的加密版本在仓库中拉闸。JAK负责加密和解密文件作为必要的，它会自动生成并更新加密密钥。一切都在命令行处理，所以开发者不必更改Windows时，它的时间来提交前一个加密文件或下载后解密文件。

这可能是对的Jak太早在生产中使用，但它是一个工具，开发人员应该熟悉。该安全启动驱散内部使用的工具，是该项目的管家可以帮助有关该工具的潜在寿命缓解忧虑的事实。

亚拉：使用模式匹配查找的麻烦

恶意软件研究喜欢用亚拉从VirusTotal的维克托曼努阿尔瓦雷斯的开源项目，以识别和恶意文件样本进行分类。然而，“模式匹配瑞士军刀”能做的远不止直接的恶意软件类型。它也可以作为事件响应和取证调查的一部分是有用的。您可以创建规则组成的文本字符串，十六进制值，或常规的表达和亚拉通过抓取可疑的目录和文件寻找任何比赛。在扫描文件是最常见的用法，亚拉还可以使用规则来检查正在运行的进程。

通过与雅苒分析文件，卡巴斯基实验室和AlienVault研究人员能够在谁违反亚洲索尼其他攻击去年袭击者链接。

一个常见的攻击方法是替换系统文件与冒名顶替者建立一个后门程序到机器中。保持眼睛上的系统文件是否是完整的一个方法是看MD5和SHA-1散列。另一种方法是建立亚拉规则，在系统文件中的多串或值，并定期扫描这些文件。如果扫描无法找到匹配，你知道这些文件已被修改时进行调查。如果攻击者已经命令shell的拷贝上传到未知的地址，亚拉可以寻找那些拷贝。

除了预先配置的规则和您创建的规则，Yara还可以使用开源防病毒工具ClamAV的病毒签名文件，以及社区维护的规则集YaraRules库。存储库具有用于检测已知的封隔器或下垂恶意过程，例如预定义的规则。也有可能挖掘VirusTotal私有API设置触发时的环境扫描的文件匹配已经上传到VirusTotal的恶意软件数据库中的文件。屋不必从命令行界面运行;它有一个Python库将它集成到Python脚本。

Yara能够在不受欢迎的地方(如发出的电子邮件附件)发现不受欢迎的文件更改，或检测出泄露机密的模式(社会安全号码、管理凭据等等)，它是一个功能强大的工具，其用途似乎无穷无尽。基于签名的检测有一些限制，因此仅依靠Yara来查找恶意文件将是一个坏主意。但是考虑到它的灵活性，错过这个工具也不是一个好主意。

ProcFilter：使用模式匹配，以停止麻烦

亚拉是超级有用的取证调查和事件响应谁想要一个感染后，分析文件。然而，利用亚拉积极抵御已知威胁可能是一个挑战。ProcFilter从GoDaddy的一个开源项目，解决了Windows环境这个挑战。ProcFilter允许您根据比赛亚拉规则适用于正在运行的进程，以及禁止或记录可执行文件（检疫相关的文件）。

ProcFilter运行作为Windows服务，并集成了微软的Windows事件追踪（ETW）API，因此它可以直接登录活动在Windows事件日志。整合也意味着ProcFilter可以创建块，日志，或隔离值的规则，当有一个匹配采取适当的行动。ProcFilter可以被配置为扫描文件和存储器无论何时创建或终止程序，或者每当被加载的可执行映像。

ProcFilter不是设计来取代你的反恶意软件解决方案，而是帮助你在一个特定的已知威胁，如已经创出同行组织钓鱼攻击为零。如果队伍里有股的攻击，帮助他人避免同样的命运亚拉签名，你可以使用ProcFilter找到传入电子邮件比赛和被传递阻止这些消息。或者，如果你想保留一只眼睛诱杀装置的Word，Excel，PowerPoint和Adobe文件，ProcFilter可以寻找并记录这些应用程序产生的所有子进程。

OSquery:查询端点的系统状态

想象一下，如果查找Windows、MacOS和Linux端点中的恶意进程、流氓插件或软件漏洞只需要编写一个SQL查询就可以了。这就是背后的想法OSquery从收集操作系统的信息，如正在运行的进程，已加载的内核模块，打开网络连接，浏览器插件，硬件事件和文件哈希到关系型数据库的Facebook工程师的开源工具。如果你能写一个SQL查询，这就是你需要得到的答案安全问题的，无需任何复杂的代码。

例如，下面的查询会找到所有监听网络端口的进程:

SELECT DISTINCT process.name，listening.port，listening.address，process.pid FROM工序AS过程JOIN listening_ports为侦听process.pid = listening.pid;

该查询会发现在地址解析协议（ARP）缓存，它包含IP地址及其解决以太网的物理地址信息异常：

选择地址，mac, COUNT(mac)作为mac_count从arp_cache组通过mac有COUNT(mac)>1;

这比用Python编写要简单得多。OSquery以一种直接和优雅的方式解决了一个重要的问题年度最佳技术）。该组件包括OSqueryi，可以使用PowerShell使用一个交互式shell，和OSqueryd，一个守护程序，执行低等级的主机监控，并允许您进度查询。

IT管理员不使用开源安全工具的原因有很多，包括对成熟度和支持的关注。更关键的是信任问题。企业可能不愿意依靠他们一无所知的开发者的产品来保护自己的王冠。

此列表中的开放源码安全项目是由受信任的名称支持的，它们肯定会引起您的注意。这些工具中的每一个都解决了一个特定的安全问题，并且占用的空间有限。试一下也无妨。它们会对你的工作方式和环境安全产生很大影响。

这个故事，“5个开源安全工具太好忽略”最初发表信息世界 。