devsecops

在容器、Kubernetes、代码仓库、云环境等场景中检测漏洞、错误配置、密钥泄露和软件物料清单

查找、验证和分析泄露的凭证

使用Gitleaks 🔑 发现密钥 （注：根据技术文档惯例，"secrets"在此语境中指代密钥、凭证等敏感信息，采用"密钥"译法符合行业标准；保留工具名称"Gitleaks"不译；添加"使用"二字使中文表达更完整自然；表情符号位置根据中文阅读习惯调整）

移动安全框架（MobSF）是一款自动化的一体化移动应用（Android/iOS/Windows）渗透测试、恶意软件分析和安全评估框架，能够执行静态和动态分析

Prowler 是全球使用最广泛的开源云安全平台，可在任何云环境中自动执行安全与合规性检查。

Kubernetes Goat 是一个“刻意设计存在漏洞”的集群环境，旨在通过交互式实践平台学习和练习 Kubernetes 安全防护 🚀

DeepAudit：人人拥有的 AI 黑客战队，让漏洞挖掘触手可及。

开源统一漏洞管理、DevSecOps与应用安全状态管理(ASPM)

Dependency-Track是智能组件分析平台，帮助组织识别并降低软件供应链风险

一份精选的威胁建模资源列表（包含书籍、免费与付费课程、视频、工具、教程以及实践工作坊），用于学习威胁建模及安全评审的初始阶段。

TerraGoat是Bridgecrew公司“设计上存在漏洞”的Terraform代码库。它是一个用于学习和培训的项目，展示了常见的配置错误如何进入生产云环境。

在 GitHub Action 中运行 Trivy 扫描 Docker 容器镜像的安全漏洞

一款专为练习Web应用、API、AI集成应用安全测试及安全代码审查而设计的故意存在漏洞的银行应用。它包含现实应用中常见的漏洞，是安全专业人员、开发者和爱好者学习渗透测试与安全编码实践的理想平台。

此GitHub Action针对基础设施即代码、开源软件包、容器镜像和CI/CD配置运行Checkov，以识别错误配置、漏洞和许可证合规性问题。

OWASP BLT - 漏洞记录工具