今年前三季度涌現(xiàn)了一批優(yōu)秀的漏洞發(fā)現(xiàn)工具（開源），這些工具能夠簡(jiǎn)化工作流程，自動(dòng)化解決人為錯(cuò)誤，并發(fā)現(xiàn)其他難以發(fā)現(xiàn)的缺陷。

　　以下是2021年前三季度可供滲透測(cè)試人員、安全團(tuán)隊(duì)和DevOps人員使用的漏洞發(fā)現(xiàn)工具（開源）匯總：

　　VSCode與Miter ATT&CK框架集成簡(jiǎn)化了代碼編輯工作

　　VSCode-ATT&CK是一個(gè)插件，安全分析師和研究人員可以通過它與Miter ATT&CK框架進(jìn)行交互，而無需離開他們的Visual Studio Code（VSCode）環(huán)境。

　　該工具由托管檢測(cè)和響應(yīng)供應(yīng)商Red Canary開發(fā)和開源，微軟流行代碼編輯器的擴(kuò)展與Miter ATT&CK框架集成，并提供集成的ATT&CK技術(shù)搜索命令等功能。

　　該工具還可幫助安全團(tuán)隊(duì)在VSCode內(nèi)保持專注，而無需離開應(yīng)用程序并通過瀏覽器訪問有關(guān)ATT&CK的信息。

　　Jenkins Attack Framework幫助紅隊(duì)強(qiáng)化CI/CD環(huán)境中的“軟目標(biāo)”

　　Jenkins Attack Framework（JAF）能夠幫助滲透測(cè)試人員和紅隊(duì)人員發(fā)現(xiàn)流行的自動(dòng)化服務(wù)器可能被濫用的方式。

　　該工具由埃森哲發(fā)布，自動(dòng)化并簡(jiǎn)化了許多常見的和一些不太常見的Jenkins攻擊技術(shù)。

　　Jenkins是一個(gè)開源CI/CD管道，通常存儲(chǔ)強(qiáng)大的憑據(jù)和專有代碼，但沒有默認(rèn)安全配置，經(jīng)常使其成為“軟目標(biāo)”，前埃森哲的JAF開發(fā)人員謝爾比斯賓塞介紹道。

　　Deadshot：在將代碼上傳到GitHub時(shí)顯示常見DevOps錯(cuò)誤

　　通信技術(shù)公司Twilio的安全專家推出了一款免費(fèi)工具，當(dāng)開發(fā)人員上傳到儲(chǔ)存庫(kù)中的代碼無意包含了敏感信息時(shí)，Deadshot監(jiān)視器GitHub會(huì)實(shí)時(shí)拉取請(qǐng)求并標(biāo)記代碼中出現(xiàn)的潛在敏感數(shù)據(jù)。

　　這是一個(gè)具有警醒作用的工具，它運(yùn)行在所有數(shù)據(jù)的傳輸流程中，并在任何數(shù)據(jù)上傳之前提醒所以的項(xiàng)目參與者——這是極具價(jià)值的功能，因?yàn)榇蠖鄶?shù)秘密的泄漏源自“毫無戒心”的開發(fā)人員，他們?cè)诓恢挥X中濫用了GitHub。

　　DIY惡意USB電纜，只需30美元

　　網(wǎng)絡(luò)安全公司r-tec的信息安全顧問Daniel Scheidt文章中指出：無論是道德的還是不道德的黑客，都具備憑借大約30美元的成本在自己的鍵盤中注入攻擊USB電纜的能力。

　　Scheidt表示，將UNIFY接收器植入到一條USB電纜中以注入擊鍵時(shí)，它可以像一條普通的USB電纜為手機(jī)充電。