這是一份安全開源項目清單寺鸥，收集了一些比較優(yōu)秀的安全開源項目雳旅，以幫助甲方安全從業(yè)人員構建企業(yè)安全能力世剖。

這些開源項目埠胖，每一個都在致力于解決一些安全問題糠溜。

項目收集的思路：

一個是關注互聯(lián)網企業(yè)/團隊的安全開源項目，經企業(yè)內部實踐直撤，這些最佳實踐值得借鑒非竿。一個是來自企業(yè)安全能力建設的需求，根據(jù)需求分類谋竖，如WAF红柱、HIDS、Git監(jiān)控等蓖乘。

GitHub項目地址：

https://github.com/Bypass007/Safety-Project-Collection

根據(jù)企業(yè)安全能力建設的需求锤悄，大致可以分為如下幾種類型：

1、資產管理

BlueKing CMDB：一個面向資產及應用的企業(yè)級配置管理平臺嘉抒。

https://github.com/Tencent/bk-cmdb

OpsManage：一款代碼部署零聚、應用部署、計劃任務、設備資產管理平臺隶症。

https://github.com/bongmu/OpsManage

Assets View：資產發(fā)現(xiàn)政模、網絡拓撲管理系統(tǒng)。

https://github.com/Cryin/AssetsView

Ansible：一種集成 IT 系統(tǒng)的配置管理蚂会、應用部署淋样、執(zhí)行特定任務的開源平臺。

https://www.ansible.com/

Saltstack：一個具備puppet與func功能為一身的集中化管理平臺胁住。

https://docs.saltstack.com/en/latest/

2趁猴、漏洞管理

insight：洞察-宜信集應用系統(tǒng)資產管理、漏洞全生命周期管理彪见、安全知識庫管理三位一體的平臺儡司。

https://github.com/creditease-sec/insight

xunfeng：一款適用于企業(yè)內網的漏洞快速應急，巡航掃描系統(tǒng)企巢。

https://github.com/ysrc/xunfeng

SRCMS:企業(yè)應急響應與缺陷管理系統(tǒng)

https://github.com/martinzhou2015/SRCMS

laravel-src:基于 Laravel 的開源安全應急響應中心平臺枫慷。

https://github.com/233sec/laravel-src

DefectDojo:一個安全程序和漏洞管理工具。

https://github.com/DefectDojo/django-DefectDojo

Fuxi-Scanner：一款開源的網絡安全檢測工具浪规，適用于中小型企業(yè)對企業(yè)信息系統(tǒng)進行安全巡航檢測或听。

https://github.com/jeffzh3ng/Fuxi-Scanner

SeMF：企業(yè)內網安全管理平臺，包含資產管理笋婿，漏洞管理誉裆，賬號管理，知識庫管缸濒、安全掃描自動化功能模塊足丢，可用于企業(yè)內部的安全管理。

https://gitee.com/gy071089/SecurityManageFramwork

3庇配、安全開發(fā)規(guī)范

rhizobia_J：JAVA安全SDK及編碼規(guī)范斩跌。

https://github.com/momosecurity/rhizobia_J

rhizobia_P：PHP安全SDK及編碼規(guī)范。

https://github.com/momosecurity/rhizobia_P

4捞慌、自動化代碼審計

fortify：靜態(tài)代碼掃描工具耀鸦。【破解即免費】啸澡。

http://www.fortify.net/

RIPS：用于PHP腳本漏洞的靜態(tài)源代碼分析器袖订。

http://rips-scanner.sourceforge.net/

OpenStack Bandit：基于Python AST的靜態(tài)分析器，用來查找Python代碼中存在的通用安全問題的工具嗅虏。

https://github.com/openstack/bandit/releases/

Cobra：一款源代碼安全審計工具洛姑，支持檢測多種開發(fā)語言源代碼中的大部分顯著的安全問題和漏洞。

https://github.com/WhaleShark-Team/cobra

banruo：基于的fotify的自動化代碼審計系統(tǒng)皮服。

https://github.com/yingshang/banruo

VCG：一種用于C++楞艾、C語言参咙、VB、PHP产徊、Java和PL/SQL的自動代碼安全審查工具昂勒。

https://sourceforge.net/projects/visualcodegrepp/

Find Security Bugs：用于Java Web應用程序的安全審計蜀细。

https://find-sec-bugs.github.io/

Hades：靜態(tài)代碼脆弱性檢測系統(tǒng)舟铜。

https://github.com/zsdlove/Hades

5、開源WAF

ngx_lua_waf：一個基于LUA-nginx的模塊（openresty）的網絡應用防火墻奠衔。

https://github.com/loveshell/ngx_lua_waf

OpenRASP：一款免費谆刨、開源的應用運行時自我保護產品。

https://rasp.baidu.com

ModSecurity：一個入侵偵測與防護引擎归斤。

http://www.modsecurity.org/

錦衣盾：基于openresty(nginx+lua)開發(fā)的下一代web應用防火墻痊夭。

http://www.jxwaf.com

x-waf：適用于中小企業(yè)的云waf。

https://github.com/xsec-lab/x-waf

6脏里、堡壘機

Jumpserver：全球首款完全開源的堡壘機她我，是符合4A的專業(yè)運維審計系統(tǒng)。

https://github.com/jumpserver/jumpserver

teleport：一款簡單易用的開源堡壘機系統(tǒng)迫横，支持RDP/SSH/SFTP/Telnet 協(xié)議的遠程連接和審計管理番舆。

https://tp4a.com/

CrazyEye：基于Python的開發(fā)的一款簡單易用的IT審計堡壘機。

https://github.com/triaquae/CrazyEye

gateone：一款使用HTML5技術編寫的網頁版SSH終端模擬器矾踱。

https://github.com/liftoff/GateOne

JXOTP：一款企業(yè)SSH登陸雙因素認證系統(tǒng)恨狈。

https://github.com/jx-sec/jxotp

麒麟堡壘機：開源版只支持一部分功能，剩下的功能需要購買呛讲。

https://www.tosec.com.cn/

7禾怠、HIDS

OSSEC：一款開源的IDS檢測系統(tǒng)，包括了日志分析贝搁、完整性檢查吗氏、rook-kit檢測，基于時間的警報和主動響應雷逆。

https://www.ossec.net

Wazuh：一個免費的弦讽，開源的企業(yè)級安全監(jiān)控解決方案，用于威脅檢測关面，完整性監(jiān)控坦袍，事件響應和合規(guī)性。

http://wazuh.com

Suricata：一個免費的開源等太，成熟捂齐，快速和強大的網絡威脅檢測引擎。

https://suricata-ids.org

Snort：網絡入侵檢測和預防系統(tǒng)缩抡。

https://www.snort.org

Osquery:一個SQL驅動操作系統(tǒng)檢測和分析工具奠宜。

https://osquery.io/

Samhain Labs：用于集中式主機完整性監(jiān)控的全面開源解決方案包颁。

https://www.la-samhna.de/

Firestorm：一種極高性能的網絡入侵檢測系統(tǒng)（NIDS）。

http://www.scaramanga.co.uk/firestorm/

MozDef：Mozilla防御平臺,一套實時集成化平臺压真，能夠實現(xiàn)監(jiān)控娩嚼、反應、協(xié)作并改進相關保護功能滴肿。

https://github.com/mozilla/MozDef

馭龍HIDS：開源的主機入侵檢測系統(tǒng)岳悟。

https://github.com/ysrc/yulong-hids

AgentSmith-HIDS：輕量級的HIDS系統(tǒng)，低性能損失泼差，使用LKM技術的HIDS工具贵少。

https://github.com/DianrongSecurity/AgentSmith-HIDS

Sobek-Hids：一個基于python的HostIDS系統(tǒng)。

http://www.codeforge.cn/article/331327

Security Onion:免費開源網絡安全監(jiān)控系統(tǒng)堆缘。

https://securityonion.net/

OpenWIPS-ng：一款開源的模塊化無線IPS（Intrusion Prevention System滔灶，入侵防御系統(tǒng)）。

http://openwips-ng.org/

Moloch: 網絡流量收集與分析吼肥。

https://www.dictionary.com/browse/moloch

8录平、網絡流量分析

Zeek：一個功能強大的網絡分析框架。

https://www.zeek.org

Kismet：一種無線網絡和設備檢測器缀皱，嗅探器斗这，驅動工具和WIDS（無線入侵檢測）框架。

https://www.kismetwireless.net/

9唆鸡、SIEM/SOC

OSSIM：開源安全信息管理系統(tǒng)涝影，它是一個開源安全信息和事件的管理系統(tǒng)，集成了一系列的能夠幫助管理員更好的進行計算機安全争占，入侵檢測和預防的工具燃逻。

https://www.alienvault.com/products/ossim

Apache Metron：一種網絡安全應用程序框架，使組織能夠檢測網絡異常并使組織能夠快速響應已識別的異常情況臂痕。

https://github.com/apache/metron

SIEMonster：以很小的成本監(jiān)控整個網絡伯襟。

https://siemonster.com/

w3a_SOC：Web日志審計與網絡監(jiān)控集合一身的平臺。

https://github.com/smarttang/w3a_SOC

OpenSOC：致力于提供一個可擴展和可擴展的高級安全分析工具握童。

http://opensoc.github.io/

Prelude：一個結合了其他各種開源工具的SIEM框架姆怪。

https://www.prelude-siem.org/

MozDef：Mozilla防御平臺,一套實時集成化平臺，能夠實現(xiàn)監(jiān)控澡绩、反應稽揭、協(xié)作并改進相關保護功能。

https://github.com/jeffbryner/MozDef

10肥卡、企業(yè)云盤

KodExplorer：可道云溪掀，是基于Web技術的私有云在線文檔管理解決方案。

https://kodcloud.com/

Seafile：一款開源的企業(yè)云盤步鉴，注重可靠性和性能揪胃。

https://www.seafile.com/home/

NextCloud:一款開源網絡硬盤系統(tǒng)璃哟。

https://nextcloud.com/

owncloud：一個基于Linux的開源云項目。

https://owncloud.com/products/

iBarn：基于PHP的開源網盤喊递。

http://www.godeye.org/code/ibarn

Cloudreve：以最低的成本快速搭建公私兼?zhèn)涞木W盤系統(tǒng)随闪。

http://cloudreve.org/

Filebrowser：一個基于GO的輕量級文件管理系統(tǒng)。

https://github.com/filebrowser/filebrowser/releases/latest

FileRun：一款強大的多功能網盤和文件管理器骚勘。

https://filerun.com/

kiftd：一款專門面向個人铐伴、團隊和小型組織的私有網盤系統(tǒng)。

https://github.com/KOHGYLW/kiftd

11调鲸、釣魚網站系統(tǒng)

HFish:一款基于 Golang 開發(fā)的跨平臺多功能主動誘導型蜜罐框架系統(tǒng)盛杰。

https://github.com/hacklcx/HFish

mail_fishing：基于thinkphp寫的一個內部釣魚網站系統(tǒng)。

https://github.com/SecurityPaper/mail_fishing

Gophish：開源釣魚工具包藐石。

https://github.com/gophish/gophish

BLACKEYE：開源釣魚工具包。

https://github.com/thelinuxchoice/blackeye

phishing:甲方網絡釣魚的安全實踐定拟。

https://github.com/p1r06u3/phishing

Phishing Frenzy:開源的釣魚測試工具于微。

https://www.phishingfrenzy.com/

King Phisher:一款專業(yè)的釣魚活動工具包。

https://github.com/rsmusllp/king-phisher/

12青自、蜜罐技術

T-Pot：多蜜罐平臺株依，可視化分析。

https://github.com/dtag-dev-sec/tpotce/

HFish：一種基于Golang開發(fā)的跨平臺多功能主動誘導型蜜罐框架系統(tǒng)延窜。

https://github.com/hacklcx/HFish

opencanary_web：蜜罐的網絡管理平臺恋腕。

https://github.com/p1r06u3/opencanary_web

Honeyd：一個小型守護進程，可以在網絡上創(chuàng)建虛擬主機逆瑞。

http://www.honeyd.org/

mhn：現(xiàn)代蜜罐網絡荠藤。

http://threatstream.github.io/mhn/

Glastopf：Python Web應用程序蜜罐。

https://github.com/mushorg/glastopf

Cowrie：一種中等交互式SSH和Telnet蜜罐获高，用于記錄暴力攻擊和攻擊者執(zhí)行的shell交互哈肖。

https://github.com/cowrie/cowrie

Kippo：一個中等交互式SSH蜜罐，用于記錄暴力攻擊念秧，最重要的是淤井，攻擊者執(zhí)行的整個shell交互。

https://github.com/desaster/kippo

Dionaea：一個低交互的蜜罐摊趾，能夠模擬FTP/HTTP/MSSQL/MYSQL/SMB等服務币狠。

https://github.com/DinoTools/dionaea

Conpot：一個ICS蜜罐，其目標是收集有關針對工業(yè)控制系統(tǒng)的敵人的動機和方法的情報砾层。

https://github.com/mushorg/conpot

Wordpot：一個Wordpress蜜罐漩绵，可以檢測用于指紋wordpress安裝的插件，主題梢为，timthumb和其他常用文件的探針渐行。

https://github.com/gbrindisi/wordpot

elastichoney：一個簡單的Elasticsearch蜜罐轰坊。

https://github.com/jordan-wright/elastichoney

beeswarm：一個蜜罐項目，為蜜罐的配置祟印、部署和管理提供了便利肴沫。

https://github.com/honeynet/beeswarm

Shockpot：一個Web應用程序蜜罐，旨在找到試圖利用Bash遠程代碼漏洞的攻擊者蕴忆，CVE-2014-6271颤芬。

https://github.com/threatstream/shockpot

13、安全運維

Scout：URL 監(jiān)控系統(tǒng)套鹅。

https://github.com/HandsomeOne/Scout

OpenDnsdb：開源的基于Python語言的DNS管理系統(tǒng) 站蝠。

https://github.com/qunarcorp/open_dnsdb

cuckoo：一個自動化的動態(tài)惡意軟件分析系統(tǒng)。

https://github.com/cuckoosandbox/cuckoo

theZoo：一個惡意軟件分析項目卓鹿。

https://github.com/ytisf/theZoo

OpenDLP：一個免費的菱魔，開源的，基于代理和無代理的吟孙，集中管理澜倦，可大規(guī)模分發(fā)的數(shù)據(jù)丟失防護工具。

https://code.google.com/archive/p/opendlp/

14杰妓、GitHub監(jiān)控

GSIL：GitHub敏感信息泄漏工具藻治。

https://github.com/FeeiCN/GSIL

Hawkeye：監(jiān)控github代碼庫，及時發(fā)現(xiàn)員工托管公司代碼到GitHub行為并預警巷挥，降低代碼泄露風險桩卵。

https://github.com/0xbug/Hawkeye

x-patrol：GitHub的泄露掃描系統(tǒng)—MiSecurity。

https://github.com/MiSecurity/x-patrol

Github-Monitor：用于監(jiān)控Github代碼倉庫的系統(tǒng)倍宾。

https://github.com/VKSRC/Github-Monitor

gshark：輕松有效地掃描Github中的敏感信息雏节。

https://github.com/neal1991/gshark

GitGuardian：實時掃描GitHub活動的解決方案。

https://www.gitguardian.com/

code6：碼小六 - GitHub 代碼泄露監(jiān)控系統(tǒng)凿宾。

https://github.com/4x99/code6

15矾屯、風控系統(tǒng)

TH-Nebula：星云風控系統(tǒng)是一套互聯(lián)網風控分析和檢測平臺。

https://github.com/threathunterX/nebula

Liudao：六道”實時業(yè)務風控系統(tǒng)初厚。

https://github.com/ysrc/Liudao

陌陌風控系統(tǒng)：靜態(tài)規(guī)則引擎件蚕，零基礎簡易便捷的配置多種復雜規(guī)則，實時高效管控用戶異常行為产禾。

https://github.com/momosecurity/aswan

Drools：基于java的功能強大的開源規(guī)則引擎排作。

https://www.drools.org