Open Source Projects
Под «вендором» понимаются организации, фонды или команды, развивающие open source‑проекты.
При внедрении в продуктивную среду рекомендуется сверяться с актуальной документацией и лицензиями на GitHub/официальных сайтах.
| Проект / Организация | Инструмент | Описание | Официальный сайт / репозиторий |
|---|---|---|---|
| OWASP Foundation | OWASP ZAP (Zed Attack Proxy) | Один из самых популярных open source DAST‑сканеров для web‑приложений и API: перехват и анализ трафика, активное и пассивное сканирование, множество плагинов и профилей под OWASP Top 10. | zaproxy.org |
| OWASP Dependency‑Check | SCA‑инструмент для анализа зависимостей по CVE/NVD и другим источникам: поддерживает Maven/Gradle, npm, NuGet, PyPI и др., умеет работать в CI/CD. | Dependency‑Check | |
| OWASP Dependency‑Track | Платформа для управления SBOM и анализa состава ПО на уровне портфеля: отслеживает уязвимости в компонентах и их влияние на продукты. | dependencytrack.org | |
| OWASP Amass | Инструмент разведки и картирования поверхностей атак (attack surface mapping), полезен для внешнего AppSec и bug bounty. | Amass | |
| OWASP Juice Shop | Уязвимое web‑приложение для обучения AppSec, CTF и тренировки команд: покрывает множество паттернов уязвимостей и сценариев атак. | Juice Shop | |
| Semgrep (r2c / Semgrep Inc.) | Semgrep (CLI/Engine) | Быстрый open source SAST‑движок для 30+ языков: поиск уязвимостей и паттернов в коде по правилам, которые выглядят как сам код. Работает в IDE, pre‑commit и CI/CD. | github.com/semgrep/semgrep |
| Semgrep Rules Registry | Публичный реестр правил (security, quality, compliance), который можно переиспользовать и адаптировать под свои стандарты secure coding. | semgrep.dev/r | |
| Semgrep CI | Готовые конфигурации и обвязка для интеграции Semgrep в GitHub Actions, GitLab CI, CircleCI и прочие пайплайны. | docs | |
| Semgrep Supply‑chain (OSS часть) | Компоненты для анализа зависимостей и цепочки поставок в связке с Semgrep‑платформой (частично open source). | semgrep.dev | |
| Semgrep IDE Integrations | Расширения для VS Code и других IDE, запускающие Semgrep локально и подсвечивающие уязвимости прямо при наборе кода. | VS Code | |
| Aqua Security (Trivy OSS) | Trivy | Универсальный open source‑сканер уязвимостей и misconfig‑ов: контейнеры, Kubernetes, файловые системы, репозитории кода, облака, IaC, секреты и лицензии. | github.com/aquasecurity/trivy |
| Trivy Operator | Интеграция Trivy в Kubernetes через оператор: автоматическое сканирование подов, образов и конфигураций, экспорт результатов в CRD. | trivy‑operator | |
| Trivy SBOM | Функциональность Trivy для генерации SBOM (CycloneDX, SPDX и др.) для образов, репозиториев и артефактов. | aquasec.com/trivy | |
| Starboard (deprecated → Trivy Operator) | Ранний OSS‑проект Aqua для интеграции результатов сканирования в Kubernetes, концептуальный предшественник Trivy Operator. | starboard | |
| tfsec (в экосистеме Aqua) | Open source‑сканер Terraform на misconfig‑и и нарушения best practices инфраструктурной безопасности. | tfsec | |
| Anchore (Syft / Grype) | Syft | Open source‑инструмент для генерации SBOM по контейнерным образам, файловым системам и репозиториям. Поддерживает CycloneDX, SPDX и другие форматы. | github.com/anchore/syft |
| Grype | Сканер уязвимостей, работающий по образам, файловым системам и SBOM (Syft/SPDX/CycloneDX). Хорошо вписывается в CI/CD и GitOps. | github.com/anchore/grype | |
| Enterprise Engine (OSS core) | Коммерческая платформа Anchore использует OSS‑ядра Syft/Grype, которые можно применять отдельно как кирпичики SBOM+Vuln‑аналитики. | anchore.com/opensource | |
| Policy Engine (OSS компоненты) | Компоненты для построения политик по результатам сканирования SBOM и образов, часть стека Anchore. | github.com/anchore | |
| Примеры интеграций CI/CD | Готовые шаблоны GitHub Actions, GitLab CI и др. для запуска Syft/Grype в конвейерах. | anchore.com | |
| GitLab (Community) | GitLab SAST Templates | Набор open source‑шаблонов для включения SAST‑сканирования (на базе сторонних OSS‑инструментов) в GitLab CI в открытых и частных проектах. | GitLab SAST |
| GitLab Dependency Scanning | Шаблоны и конфигурации для анализа зависимостей (SCA) с использованием OSS‑сканеров, автоматические отчёты в Merge Request и pipeline. | Dep Scanning | |
| GitLab Secret Detection | Open source‑правила и обвязка для поиска секретов (ключи, токены, пароли) в репозиториях и истории коммитов. | Secret Detection | |
| GitLab Container Scanning | Интеграция OSS‑сканеров образов (Trivy/Clair и др.) в GitLab CI с отчётами по уязвимостям в контейнерах. | Container | |
| GitLab DAST | DAST‑шаблоны для сканирования web‑приложений с использованием OSS‑движков, запуск прямо из pipeline. | DAST | |
| Прочие Open Source проекты | Bandit (Python) | Специализированный SAST‑сканер для Python‑кода: находит типовые security‑антипаттерны, небезопасные вызовы и плохие практики. | github.com/PyCQA/bandit |
| Gitleaks | Инструмент для поиска секретов в Git‑репозиториях и истории коммитов, удобен как pre‑commit‑хук и в CI/CD. | github.com/gitleaks/gitleaks | |
| OSV‑Scanner | SCA‑сканер от Google на базе базы Open Source Vulnerabilities (OSV): проверяет зависимости по lock‑файлам и манифестам. | github.com/google/osv-scanner | |
| kics | Open source‑сканер IaC (Terraform, Kubernetes, CloudFormation и др.) на misconfig‑и и нарушения best practices. | github.com/Checkmarx/kics | |
| CycloneDX (спеки/утилиты) | Open source‑спецификация SBOM и набор утилит/библиотек для генерации и работы с SBOM в формате CycloneDX на разных языках. | cyclonedx.org |