Jackhammer
Это инструмент оценки / управления уязвимостями безопасности для решения всех проблем группы безопасности.
Что такое Jackhammer ?
Jackhammer – это инструмент для совместной работы, созданный с целью преодоления разрыва между командой безопасности и командой разработчиков, командой QA и помощником TPM для понимания и отслеживания качества кода, поступающего в производство.
Он может выполнять статический анализ кода и динамический анализ с помощью встроенной функции управления уязвимостями.
Он находит уязвимости безопасности в целевых приложениях и помогает командам безопасности управлять хаосом в эту новую эпоху непрерывной интеграции и непрерывного / многократного развертывания.
Он полностью работает на RBAC (управление доступом на основе ролей).
Существуют отличные информационные панели для отдельных сканирований и групповых сканирований, дающие широкие возможности для совместной работы различным командам.
Он полностью построен на подключаемой архитектуре, которая может быть интегрирована с любым открытым / коммерческим инструментом.
Jackhammer использует проект OWASP для запуска нескольких открытых и коммерческих инструментов на проверку вашего кода, веб-приложения, мобильного приложения, cms (wordpress), сети.
Ключевые особенности:
- Предоставляет унифицированный интерфейс для совместной работы над результатами
- Сканирование (код) может быть сделано для всех хранилищ управления кодом
- Планирование сканирования на основе интервалов # ежедневно, еженедельно, ежемесячно
- Расширенная фильтрация ложных срабатываний
- Публикация уязвимостей в системах отслеживания ошибок
- Следите за статистикой и тенденциями уязвимостей в ваших приложениях
- Интегрируется с большинством открытых и коммерческих инструментов сканирования
- Управление пользователями и ролями дает хороший контроль
- Настраиваемые уровни серьезности в списке результатов в разных приложениях
- Встроенная прогрессия статуса уязвимости
- Простые в использовании фильтры для просмотра целевых наборов от множества уязвимостей
- Асинхронное сканирование (через sidekiq)
- Бесшовное управление уязвимостями
- Отслеживайте статистику и графики тенденций безопасности в ваших приложениях
- Легко интегрируется с различными открытыми, коммерческими и пользовательскими инструментами сканирования
Поддерживаемые сканеры уязвимостей:
Статический анализ:
- Brakeman
- Bundler-Audit
- Checkmarx**
- Dawnscanner
- FindSecurityBugs
- Xanitizer*
- NodeSecurityProject
- PMD
- Retire.js
Поиск жестко закодированных секретов / токенов / кредитов:
Веб приложения:
Мобильные приложения:
WordPress:
Сеть:
Установка
git clone https://github.com/olacabs/jackhammer
sh ./docker-build.sh
Источник: https://github.com/olacabs/