請收下這 10 個安全相關的開源專案

開源為我們的開發帶來了極大便利，但這些便利也伴隨著一些安全隱患。每當專案引入一個庫、框架、服務時，隨之而來的安全風險也不可忽視。

所以，當開源吞噬世界的時候，程式碼安全就更得重視了。今天 HelloGitHub 就給大家帶來了 10 款關於安全主題的開源專案，涵蓋了編碼安全、Web 安全、工具三個方面，雖不能做到面面俱到，但希望它可以拋磚引玉，藉此喚起大家的安全意識。

如果你早就認識到程式碼安全的重要性，那這些開源專案中肯定也有適合你的一款，話不多說，下面就開始今天的「安全教育」。

一、編碼安全

從編碼習慣入手，提高安全意識。

騰訊開源的程式碼安全指南。該專案包含：C/C++、Python、JavaScript、Java、Go 等語言的安全編碼指南，內容簡單易懂能夠幫助開發者，在程式碼源頭規避安全風險、減少漏洞。

地址：https://github.com/Tencent/secguide

由 360 質量工程部開源的《程式碼安全規則集合》。一份全面詳細的 C/C++ 程式設計規範指南，適用於桌面、伺服器端以及嵌入式等軟體開發。

地址：https://github.com/Qihoo360/safe-rules

通過檢查容易出錯的地方，從而保證 Web 服務的安全性。

實用的 Web 開發人員安全須知。作為一個 Web 開發者，你應該在實際工作中認真、經常地使用這套列表，能夠有效地減少安全隱患。中文翻譯版

地址：https://github.com/FallibleInc/security-guide-for-developers

一份很全面的 Web 安全學習筆記，內容包括網路協定、資訊收集、常見漏洞攻防、內網滲透等。線上閱讀

地址：https://github.com/LyleMi/Learn-Web-Hacking

該專案由 OWASP 社群（開放式 Web 應用程式安全專案）一個致力於提高軟體安全性的非盈利基金會維護，OWASP Top 10 是針對 Web 應用程式的 10 大安全風險提示。線上閱讀

地址：https://github.com/OWASP/Top10

開發安全的 API 所需要核對的清單。在設計、測試和釋出 API 的時候，需要核對的重要安全措施。中文

地址：https://github.com/shieldfy/API-Security-Checklist

程式碼千萬行，安全第一行。程式碼量多了，就得藉助工具來發現安全隱患啦。

基於 YAML 語法模板的客製化化快速漏洞掃描器，工程師可以輕鬆地使用它建立一套自定義的檢查方式。

地址：https://github.com/projectdiscovery/nuclei

一款靜態應用程式安全測試(SAST)工具。它可以檢測 Git 專案中是否包含密碼、API Key、token 等敏感資訊，還能夠輕鬆整合到 Git Hook 和 GitHub Action，實現提交程式碼時自動檢測，通過告警和阻止 push 等方式，有效地防止敏感資訊洩漏。

地址：https://github.com/zricethezav/gitleaks

一款全面的容器安全掃描工具。當下最流行的開源容器映象漏洞掃描工具，擁有速度快、精準度高、依賴檢測、機密檢查、對 CI 友好等特點。它不僅安裝簡單而且容易上手，僅需一條命令，即可發現映象存在的安全漏洞。

地址：https://github.com/aquasecurity/trivy

一個面向大眾的開源漏洞環境集合。無需 Docker 知識，僅需通過一條簡單的命令，就能跑起來一個存在某個漏洞的完整應用。使得安全研究人員能夠方便地復現與研究漏洞，省去了學習複雜的部署知識、尋找有漏洞的舊版本應用、搭建依賴的服務等麻煩。

地址：https://github.com/vulhub/vulhub

本期的專案雖然沒有太多的趣味性，但都是良心之作「苦口婆心」。程式碼安全無小事，只有不出事和事故兩種情況，嘴上喊一萬遍「安全第一」(我都懂，空了就改)，不如立馬帶上個「安全帽」(跑個安全掃描器)來得實在。

好了，以上就是本期的所有內容，如果您覺得這期內容還不錯：求贊、求收藏、求轉發，您的支援就是對我最大的鼓勵！❤️