devsecops

在容器、Kubernetes、代码仓库、云环境等场景中检测漏洞、错误配置、密钥泄露和软件物料清单

使用Gitleaks 🔑 发现密钥 （注：根据技术文档惯例，"secrets"在此语境中指代密钥、凭证等敏感信息，采用"密钥"译法符合行业标准；保留工具名称"Gitleaks"不译；添加"使用"二字使中文表达更完整自然；表情符号位置根据中文阅读习惯调整）

查找、验证和分析泄露的凭证

移动安全框架（MobSF）是一款自动化的一体化移动应用（Android/iOS/Windows）渗透测试、恶意软件分析和安全评估框架，能够执行静态和动态分析

为AI智能体设计的754项结构化网络安全技能，映射至五大框架：MITRE ATT&CK、NIST CSF 2.0、MITRE ATLAS、D3FEND及NIST AI RMF，遵循agentskills.io标准，兼容Claude Code、GitHub Copilot、Codex CLI、Cursor、Gemini CLI及20余个平台，覆盖26个安全领域，采用Apache 2.0许可。

全球最先进的数据库开发安全运维一体化解决方案，面向开发、安全、DBA 和平台工程团队。数据库开发安全运维领域的 GitHub/GitLab。

Prowler 是全球使用最广泛的开源云安全平台，可在任何云环境中自动执行安全与合规性检查。

🛡️ 开源新一代Web应用防火墙

Kubernetes Goat 是一个“刻意设计存在漏洞”的集群环境，旨在通过交互式实践平台学习和练习 Kubernetes 安全防护 🚀

🌙🦊 Dalfox 是一款专注于自动化、功能强大的开源 XSS 扫描器与实用工具。

DeepAudit：人人拥有的 AI 黑客战队，让漏洞挖掘触手可及。

开源统一漏洞管理、DevSecOps与应用安全状态管理(ASPM)

Dependency-Track是智能组件分析平台，帮助组织识别并降低软件供应链风险

一份精选的威胁建模资源列表（包含书籍、免费与付费课程、视频、工具、教程以及实践工作坊），用于学习威胁建模及安全评审的初始阶段。

扫描代码中的每个端点，暴露影子API，绘制攻击面地图。

TerraGoat是Bridgecrew公司“设计上存在漏洞”的Terraform代码库。它是一个用于学习和培训的项目，展示了常见的配置错误如何进入生产云环境。

在 GitHub Action 中运行 Trivy 扫描 Docker 容器镜像的安全漏洞

一款专为练习Web应用、API、AI集成应用安全测试及安全代码审查而设计的故意存在漏洞的银行应用。它包含现实应用中常见的漏洞，是安全专业人员、开发者和爱好者学习渗透测试与安全编码实践的理想平台。

PMG 通过代理、沙箱以及 SafeDep 的威胁情报源，保护开发者与 AI 代理免受恶意开源软件包的侵害。

此GitHub Action针对基础设施即代码、开源软件包、容器镜像和CI/CD配置运行Checkov，以识别错误配置、漏洞和许可证合规性问题。

OWASP BLT - 漏洞记录工具