SAST工具是最常見也是最早出現的自動化應用安全測試。有些研發人員認為，考慮軟件的安全性會給他們增加更多工作量，但實際上，安全能力會給研發工作錦上添花，幫助節約大量修復bug的時間。市場上的SAST工具非常多，今天小編就介紹6款免費的開發安全測試工具，希望能幫到你。

1、GitGuardian

GitGuardian包括300多種不同類型的機密類型，能夠通過復雜的模型匹配等多種算法技術進行檢測，并且通過掃描開發人員存儲庫，持續發現機密信息。有一個很棒的功能是，GitGuardian可以和GitHub帳戶集成，只需幾分鐘就能完成配置。開發人員可以通過GitGuardian API檢測目錄、郵件客戶端或Slack channel等服務中的機密信息。

2、Snyk

Snyk能為開發人員提供一些開源的解決方案，它有很多不錯的功能，比如在IDE中檢測漏洞，掃描本地git測試存儲庫中的項目等。Snyk有安全網關，能夠防止漏洞通過構建過程進入開發環境，而且有一個生產環境，用于測試運行環境中是否存在暴露風險點。

3、NodeJsScan

NodeJs Scan有一個命令行接口，很方便就能與DevSecOps CI/CD管道集成，并以JSON格式生成掃描結果。NodeJs Scan的文件總覽和整個代碼庫都可以通過統計數據和餅圖做到可視化，此外，還可以檢測緩沖區溢出漏洞，并針對Java的十大OWASP漏洞。

4、Contrast Security-Community

Contrast Security提供了一種新的軟件應用安全方法，可以深入地發現漏洞。軟件開發人員可以在其開發的軟件中嵌入一個安全傳感器，這個傳感器不斷地把數據傳送到Contrast的平臺，使得開發者能夠在軟件開發和測試過程中評估軟件的缺陷，能夠在已部署的軟件遭受攻擊時進行精確防護。

5、Sqreen

Sqreen的RASP覆蓋OWASP十大安全漏洞，可通過請求的完整執行上下文信息來發現應用上線后的漏洞利用和攻擊活動，如SQL注入、XSS和SSRF等。它能夠根據請求的執行邏輯進行攻擊攔截，比其它解決方案的誤報率低得多，這是它比較大的一個特點。Sqreen還能自動適配不同的應用程序技術棧，無需重新部署或配置。

6、WhiteSource Bolt for GitHub

Whitesource支持200多種編程語言，能持續掃描自有和公開的存儲庫，檢測開源組件中的漏洞并提供修復建議，能夠持續跟蹤多個開源漏洞庫，這是很了不起的功能。

這6款開發安全測試工具你收藏了嗎?上述的開源工具都只能提供比較基本的保護，實際運營過程中還是需要更多功能更加豐富的商業軟件和方案。